[보안뉴스][정보보호 주간] 공급망 보안은 제품 설계 첫 단계부터...KISA, ‘시큐어 바이 디자인’ 협약식 개최

내용 요약

한국인터넷진흥원(KISA)과 과학기술정보통신부는 공급망 보안 강화를 위해 8개 기업과 함께 '공급망 보안 모델 구축 사업' 협약을 체결하고 'Secure by Design' 실천을 선언했습니다. 이 사업을 통해 4개 분야(클라우드, 통신, 스마트팩토리, OT)에서 공급망 보안 모범 사례를 발굴하고, Secure by Design 원칙을 적용하여 제품 및 서비스 개발 단계부터 보안을 강화할 계획입니다.

핵심 포인트

• KISA와 과기정통부 주도의 공급망 보안 모델 구축 사업 시작
• 클라우드, 통신, 스마트팩토리, OT 4개 분야 집중
• 8개 기업 참여, 분야별 모범 사례 발굴 예정
• Secure by Design 원칙 적용, 개발 단계부터 보안 내재화 강조

기술 세부 내용

1️⃣ 공급망 보안 (Supply Chain Security)

• 공급망 전반에 걸친 보안 위협으로부터 제품, 서비스, 데이터 및 조직의 자산을 보호하는 것을 의미합니다. ️ 제품이나 서비스의 설계, 개발, 제조, 유통, 사용, 폐기까지의 모든 단계가 포함됩니다.
• 최근 소프트웨어 및 하드웨어의 복잡성 증가와 아웃소싱 확대로 인해 공급망 공격의 위험성이 높아지고 있습니다. 공급망의 한 부분에 대한 공격이 전체 시스템에 영향을 미칠 수 있습니다. 예를 들어, 소프트웨어 라이브러리의 취약점을 악용하여 최종 제품을 공격하는 것이 대표적인 사례입니다.

2️⃣ Secure by Design

• 제품 및 서비스의 라이프사이클 전반에 걸쳐 보안을 고려하는 접근 방식입니다. ️ 설계 단계부터 보안을 내재화하여 취약점 발생을 최소화하고, 발생하더라도 영향을 줄이는 것을 목표로 합니다.
• Secure by Design은 단순히 기술적인 측면뿐 아니라 프로세스, 조직 문화, 교육 등 다양한 측면을 포괄합니다. 개발자 교육, 보안 테스트, 코드 검토, 취약점 관리 등이 Secure by Design을 구현하는 주요 활동입니다.

3️⃣ 클라우드 보안 (Cloud Security)

• 클라우드 컴퓨팅 환경에서 데이터, 애플리케이션, 인프라를 보호하기 위한 일련의 정책, 기술, 제어 및 서비스를 의미합니다. ☁️ 데이터 암호화, 접근 제어, 네트워크 보안, 취약점 관리 등이 포함됩니다.
• 클라우드 환경은 공유된 책임 모델을 가지고 있습니다. 클라우드 제공업체는 물리적 인프라 보안을 담당하고, 사용자는 데이터 및 애플리케이션 보안을 책임집니다.

4️⃣ 통신 보안 (Telecommunications Security)

• 통신 네트워크 및 시스템의 기밀성, 무결성, 가용성을 보호하는 것을 목표로 합니다. 도청, 데이터 변조, 서비스 거부 공격 등으로부터 통신 인프라를 보호하는 것이 중요합니다.
• 5G와 같은 차세대 통신 기술의 도입으로 보안 위협도 더욱 복잡해지고 있습니다.

5️⃣ 스마트팩토리 보안 (Smart Factory Security)

• 스마트팩토리 환경에서 사용되는 다양한 시스템 및 데이터를 사이버 위협으로부터 보호하는 것을 의미합니다. 산업 제어 시스템(ICS), 사물 인터넷(IoT) 기기, 데이터 수집 및 분석 시스템 등이 보호 대상입니다.
• 스마트팩토리 환경은 IT와 OT의 융합으로 인해 기존의 IT 보안과는 다른 접근 방식이 필요합니다.

6️⃣ OT 보안 (Operational Technology Security)

• 발전소, 제조 공장, 정유 시설 등과 같은 산업 제어 시스템(ICS)과 관련된 하드웨어 및 소프트웨어를 사이버 위협으로부터 보호하는 것을 의미합니다. ⚙️ OT 환경은 안전과 직결되어 있기 때문에 사이버 공격으로 인한 피해가 매우 심각할 수 있습니다.
• OT 시스템은 IT 시스템과는 다른 특징을 가지고 있으며, 보안 요구사항 또한 다릅니다.

 

출처: http://www.boannews.com/media/view.asp?idx=138070&kind=&sub_kind=