쿤텍-ETRI, ‘시스템 디바이스의 하드웨어 공급망 위협 대응 핵심기술 개발’ 과제 진행
이지스, HW/SW 전체 공급망 보안 관리가 가능한 토탈 솔루션

[보안뉴스 박은주 기자] 공급망 보안 전문기업 쿤텍(대표 방혁준)은 과학기술정보통신부에서 지원하고 정보통신기획평가원(IITP)이 주관하는 정보보호 핵심원천 기술개발사업인 ‘시스템 디바이스의 하드웨어 공급망 위협 대응 핵심기술 개발’ 과제를 수행한 결과, 하드웨어 및 소프트웨어 전체 공급망 보안 관리가 가능한 토탈 솔루션인 ‘이지스(AEGIS)’ 기능 고도화에 성공했다고 밝혔다.


이지스는 하드웨어 및 소프트웨어 공급망을 아우르는 CBOM 보안 관리 도구다. 이번 기능 고도화로 NVD 취약점 데이터베이스(DB)를 자체 DB에 초기 마이그레이션하고 주기적인 NVD 데이터베이스 동기화를 통한 원데이 취약점 자동 식별 및 조치 가이드 기술을 구현했다. 또한 취약점 등급을 긴급, 높음, 중간, 낮음으로 구분하고 이와 관련된 분석 결과를 대시보드를 통해 사용자에게 제공하여 쉽고 빠른 분석을 지원한다.

쿤텍은 본 과제 수행을 통해 이지스에 5G 코어(5G Core) 보안 취약점 점검 기능을 추가해 상용 제품의 5G 코어 NFV(네트워크 기능 가상화) 바이너리 16종에 대한 보안 취약점을 점검했다. 점검 결과 발견된 다수의 취약점에 대해 조치 가이드를 제공해 하드웨어 공급망 관리 적용 범위도 확대했다.

ETRI 이상수 책임연구원은 “산업 전반에 걸친 보안 신뢰성을 확보하기 위해서는 소프트웨어 공급망만큼 하드웨어 공급망 보안을 관리하는 것도 중요하지만, 아직까지 하드웨어 공급망 보안에 대한 인식과 실질적인 취약점 분석 기술력이 부족한 상태”라고 말하며, “쿤텍과 ETRI는 본 과제 수행을 통해 CBOM 관리 도구인 이지스의 취약점 점검 기능을 향상시켰다”고 말했다.

이 연구원은 “IC칩, PCB 보드, 펌웨어와 같은 하드웨어에 대한 취약점을 분석하는 기술 및 5G Core 보안 취약점 점검 기능을 추가 적용했다”며 “이를 통해 HW, SW 전체 공급망에 대한 위협대응 체계 구축을 지원할 수 있을 것으로 기대한다”고 전했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>