국내외 과학기술 정책에 대한 간략한 정보
단신동향
해외단신
소프트웨어 공급 사슬 관련 리스크 공시 방안 원문보기 1
- 국가 미국
- 생성기관 RAND 연구소
- 주제분류 핵심R&D분야
- 원문발표일 2022-05-26
- 등록일 2022-06-17
- 권호 216
○ RAND 연구소(RAND Corporation)는 소프트웨어 공급 사슬과 관련한 리스크를 공시하는 방안을 제시하는 보고서*를 발표함
* Disclosure of Software Supply Chain Risks
○ 컴퓨터 소프트웨어에 대한 의존도가 높아지고 다양한 어플리케이션이 제3자나 오픈소스 소프트웨어 부문을 기초로 하면서 리스크가 높아지고 있음
- NotPetya나 WannaCry 랜섬웨어는 전세계에 수십억 달러의 피해를 입혔으며 2014년의 Heartbleed와 2021년의 log4j는 소프트웨어의 취약성을 잘 보여줌
○ 소프트웨어 공급 사슬의 리스크가 부각되면서 증권거래위원회(SEC)가 사이버 리스크 공시 외에도 소프트웨어 공급 사슬 리스크를 공개해야 한다는 목소리가 커지고 있음
○ 본 보고서는 증권거래위원회(SEC)가 소프트웨어 공급 사슬 리스크 공시제도를 만드는 과정에서 포함되어야 할 세 가지 요소를 다음과 같이 제시함
- 증권거래위원회(SEC)는 기업이 소프트웨어 공급 사슬 리스크를 관리하는 과정을 공개하도록 만들어야 하며, 이 과정에서 국립표준기술연구소(NIST)의 지침이 기업에 도움을 줄 수 있음
- 증권거래위원회(SEC)는 기업 컴퓨터 네트워크의 적절하고 신뢰할 수 있는 운영을 위해 필수적인 소프트웨어를 공개하도록 만들어야 함
- 상업적인 판매나 오픈소스 라이브러리를 통한 소프트웨어 요소의 존재 여부와 소프트웨어 관리 방안, 특성과 중요도 수준을 공개하도록 만들어야 함
* Disclosure of Software Supply Chain Risks
○ 컴퓨터 소프트웨어에 대한 의존도가 높아지고 다양한 어플리케이션이 제3자나 오픈소스 소프트웨어 부문을 기초로 하면서 리스크가 높아지고 있음
- NotPetya나 WannaCry 랜섬웨어는 전세계에 수십억 달러의 피해를 입혔으며 2014년의 Heartbleed와 2021년의 log4j는 소프트웨어의 취약성을 잘 보여줌
○ 소프트웨어 공급 사슬의 리스크가 부각되면서 증권거래위원회(SEC)가 사이버 리스크 공시 외에도 소프트웨어 공급 사슬 리스크를 공개해야 한다는 목소리가 커지고 있음
○ 본 보고서는 증권거래위원회(SEC)가 소프트웨어 공급 사슬 리스크 공시제도를 만드는 과정에서 포함되어야 할 세 가지 요소를 다음과 같이 제시함
- 증권거래위원회(SEC)는 기업이 소프트웨어 공급 사슬 리스크를 관리하는 과정을 공개하도록 만들어야 하며, 이 과정에서 국립표준기술연구소(NIST)의 지침이 기업에 도움을 줄 수 있음
- 증권거래위원회(SEC)는 기업 컴퓨터 네트워크의 적절하고 신뢰할 수 있는 운영을 위해 필수적인 소프트웨어를 공개하도록 만들어야 함
- 상업적인 판매나 오픈소스 라이브러리를 통한 소프트웨어 요소의 존재 여부와 소프트웨어 관리 방안, 특성과 중요도 수준을 공개하도록 만들어야 함
