• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

최근 가장 뜨거운 보안 이슈, ‘공급망보안’의 모든 것을 논하다 2023.07.16

한국정보보호학회 공급망보안연구회, 2023년 공급망보안 워크숍 개최
공급망보안 관련 최신 기술과 과제, 정책 동향 논의...산·학·연·관·군의 연결고리 역할 담당

[보안뉴스 김영명 기자] 한국정보보호학회 공급망보안연구회(회장 이만희, 이하 공급망보안연구회)는 2023년 두 번째 ‘공급망보안 워크숍(이하 워크숍)’을 14일 서초구 aT센터에서 개최했다. 공급망보안연구회는 이번 워크숍을 통해 공급망보안 관련 최신 기술과 과제, 정책 동향을 논의했으며, 향후 공급망보안과 관련된 국가적 대응에 동참할 수 있는 산·학·연·관·군의 연결고리 역할을 담당한다는 계획이다.

▲한국정보보호학회 공급망보안연구회의 ‘공급망보안 워크숍’이 개최됐다[사진=보안뉴스]


공급망보안연구회가 주최하고, 과학기술정보통신부, 코드마인드, 유엠로직스, 레드펜소프트, 쿤텍, 가천대 CPS보안연구센터, 세종대 프로토콜공학연구실, 순천향대 시스템보안연구실, 숭실대 AI 보안연구실, 국민대 국방사이버전자전연구소, 한남대 고성능보안컴퓨터연구실 등이 후원한 이번 행사에서는 개회식과 기조강연, 그리고 3개의 세션과 패널토론이 진행됐다.

▲개회사를 하고 있는 공급망보안연구회 이만희 회장[사진=보안뉴스]


워크숍 개회식과 기조강연은 서울과기대 손기욱 교수의 사회로 진행됐다. 공급망보안연구회 이만희 회장은 개회사에서 “공급망보안의 핵심 기술은 대학과 연구소가 개발하고, 국가기관이 정책 개발을 맡아 국방을 비롯한 전체 분야에 적용되도록 해야 한다. 이를 위해 산·학·연·관이 함께 힘을 모아야 한다”며 “미국, 일본 등 공급망보안에 앞장서는 국가들과 지속적으로 협력해 나가며, 앞으로 더욱 풍성한 워크숍을 만들어 나가겠다”고 말했다.

▲환영사를 하고 있는 한국정보보호학회 하재철 수석부회장[사진=보안뉴스]


이어 한국정보보호학회 하재철 수석부회장은 “공급망보안연구회는 한국정보보호학회 내에서의 연구회 설립 역사는 만 1년 6개월밖에 안됐지만, 참석인원은 약 300명이 넘어 높은 인기를 실감하고 있다”며, “미국 바이든 행정부가 소프트웨어 보안을 강화하는 행정명령을 내렸고, 미국 CISA에서는 SBOM을, EU에서도 공급망보안을 중시하고 있다”고 공급망 보안의 중요성에 대해 거듭 강조했다.

▲축사를 하고 있는 과학기술정보통신부 박윤규 제2차관[사진=보안뉴스]


또한, 과학기술정보통신부 박윤규 제2차관은 축사를 통해 “정부에서도 새로운 유형의 사이버보안에 대해 두 가지로 대응하고 있는데, 하나는 제로트러스트로 최근 제로트러스트 가이드라인 1.0을 발표했으며, 두 번째는 공급망보안과 관련해 업계, 개발자, 연구회가 함께 힘을 모을 수 있도록 지난해 6월에 포럼을 발족한 것”이라며, “이러한 활동이 안전한 디지털 환경을 위한 초석이 될 것이기 때문에 앞으로도 공급망보안 강화를 위해 적극 지원해 나갈 것”이라고 말했다.

기조강연에서는 CISA 앨런 프리드만(Allan Friedman) Senior Advisor가 ‘Efforts to Secure the Software Supply Chain in the U.S’를 주제로 발표했다. 기조강연에서 앨런 프리드만 SA는 공급망보안 강화를 위한 가장 좋은 방법은 시장 투명성을 유지하는 것이라고 설명했다.

▲기조강연을 하고 있는 OpenSSF 줄리안 고든 Asia VP[사진=보안뉴스]


이어 OpenSSF 줄리안 고든(Julian Gordon) Asia VP가 ‘OpenSSF’s supply chain security strategy, initiatives and development’를 주제로 기조강연을 이어갔다. 줄리안 고든 Asia VP는 “우리의 사명은 공익을 위해 전 세계적으로 소프트웨어 공급망을 보호하는 것”이라며, “소프트웨어 보안에서 가장 중요한 것은 공급망을 우선적으로 보호하는 것인데, 이를 위해서는 소스코드의 무결성 및 빌드 무결성이 가장 중요하다”고 강조했다.

세션 발표에서는 국가정보원 국가사이버안보센터(NCSC) 침해대응팀장이 ‘침해사고 사례로 살펴보는 공급망보안의 이해’라는 주제로 발표했다. 그는 “사이버안보는 국가 생존과 관계가 있으며, 공급망 안보의 기반이 되고 있다”며, “사이버 공격의 초기 침투는 공급망 침투로 시작된다. 공급망보안 유지를 위해 개발자는 개발 전 과정에서 SDLC를 강화하는 등 조치가 필요하며, 일반 사용자는 SW 다운로드 시 무결성 검증 제로트러스트를 실천해야 한다“고 설명했다.

또한, 고려대 최윤성 소프트웨어보안연구소 교수는 ‘글로벌 SW 공급망 보안 정책과 취약점 처리 동향’을 발표했다. 최윤성 교수는 “취약성 코드의 소유자는 취약점을 꾸준히 관리하고, 개발자는 보안을 제대로 적용해야 한다”며 “정부에서는 개발자와 소유자 간 적절한 공급망보안 유지를 위해 적극적인 관심이 요구된다”며 말했다.

이어 한국인터넷진흥원(KISA) 이향진 디지털안전정책팀장은 ‘국내 SW 공급망보안 정책동향 및 추진현황’에 대해 발표했다. 이 팀장은 지난해 10월 창립한 ‘SW 공급망보안 포럼’의 활동사항을 공유하면서 올해부터는 포럼을 한층 활성화시켜 SW 산업 전문가, 오픈소스 전문가 참여를 확대했으며, SBOM 실증사업 등을 기반으로 산출물을 도출하고 있다고 설명했다. 이와 함께 KISA는 한국형 오픈소스 기반 공급망 위험평가 도구인 K-CSET을 개발, 보안 기준에 따른 점검 및 위험평가를 지원하고 있다고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>