국내외 과학기술 정책에 대한 간략한 정보
단신동향
해외단신
소프트웨어 공급 체인의 중요성 및 안정성 강화 방안 원문보기 1
- 국가 미국
- 생성기관 대서양협의회
- 주제분류 핵심R&D분야
- 원문발표일 2020-07-26
- 등록일 2020-08-21
- 권호 173
○ 미국의 싱크탱크 대서양협의회(Atlantic Council)는 소프트웨어 공급 사슬의 중요성과 그 안정성을 강화할 방안을 제시하는 보고서*를 발표함
* Breaking trust: Shades of crisis across an insecure software supply chain
○ 소프트웨어의 안정적인 공급 사슬은 민간 경제의 활성화와 국방에 필수적이지만 지난 10년 간 115건의 공격과 유출 사건이 일어나는 등 안정성이 크게 위협받고 있음
- 최소 27건의 소프트웨어 공급 사슬 공격 사례는 러시아, 중국, 북한, 이란 등에서 수행된 것으로, 원격 코드 실행과 같은 결과로 이어지는 파급효과가 큰 대상을 목표로 함
- 이러한 공격들은 코드의 완전성을 보장하기 위해 사용된 공공 암호와 인증서의 신뢰를 무너뜨리고 있음
- 전체 공격 중 27%가 소프트웨어 업데이트를 목표로 악성 코드를 심으려 하였음
- 계정으로 접근해 오픈 소스 코드를 수정하거나 일반적인 사례와 비슷한 이름을 가진 자체적인 코드를 게시하는 방식으로 공격에 사용함
- 구글이나 애플의 어플리케이션 스토어를 이용해 악성코드를 모바일 기기에 설치하는 등의 공격 행태가 전체의 22%를 차지함
○ 본 보고서는 소프트웨어 공급 사슬의 불안으로 인한 신뢰의 상실을 막기 위해 다음과 같은 정책 방안을 제시함
- 개발자와 프로젝트 소유자의 부담을 덜어주는 범용 표준과 도구의 공급을 통해 소프트웨어 공급 사슬 보안 강화를 위한 기반을 강화할 것
- 많은 기업 시스템과 네트워크의 개발에 핵심적이지만 외부로부터의 조작에 취약한 오픈 소스 코드의 보호를 강화할 것
- 동맹국들과 협력해 소프트웨어 공급 사슬을 약화시키려는 해커와 세력에 대응할 것
* Breaking trust: Shades of crisis across an insecure software supply chain
○ 소프트웨어의 안정적인 공급 사슬은 민간 경제의 활성화와 국방에 필수적이지만 지난 10년 간 115건의 공격과 유출 사건이 일어나는 등 안정성이 크게 위협받고 있음
- 최소 27건의 소프트웨어 공급 사슬 공격 사례는 러시아, 중국, 북한, 이란 등에서 수행된 것으로, 원격 코드 실행과 같은 결과로 이어지는 파급효과가 큰 대상을 목표로 함
- 이러한 공격들은 코드의 완전성을 보장하기 위해 사용된 공공 암호와 인증서의 신뢰를 무너뜨리고 있음
- 전체 공격 중 27%가 소프트웨어 업데이트를 목표로 악성 코드를 심으려 하였음
- 계정으로 접근해 오픈 소스 코드를 수정하거나 일반적인 사례와 비슷한 이름을 가진 자체적인 코드를 게시하는 방식으로 공격에 사용함
- 구글이나 애플의 어플리케이션 스토어를 이용해 악성코드를 모바일 기기에 설치하는 등의 공격 행태가 전체의 22%를 차지함
○ 본 보고서는 소프트웨어 공급 사슬의 불안으로 인한 신뢰의 상실을 막기 위해 다음과 같은 정책 방안을 제시함
- 개발자와 프로젝트 소유자의 부담을 덜어주는 범용 표준과 도구의 공급을 통해 소프트웨어 공급 사슬 보안 강화를 위한 기반을 강화할 것
- 많은 기업 시스템과 네트워크의 개발에 핵심적이지만 외부로부터의 조작에 취약한 오픈 소스 코드의 보호를 강화할 것
- 동맹국들과 협력해 소프트웨어 공급 사슬을 약화시키려는 해커와 세력에 대응할 것
