[사진=게티이미지뱅크]
[사진=게티이미지뱅크]

 


“바이든 정부의 행정명령 시작, 강화되는 소프트웨어 보안 정책이 시행된다.”

 


역대 최악의 해킹사고로 평가되는 솔라윈즈(SolarWinds) 해킹 사건에 이어 미국 최대 송유관 운영업체인 콜로니얼 파이프라인(Colonial Pipeline)까지 랜섬웨어 공격을 받은 것으로 드러나면서 미국 바이든 정부는 사이버 보안 강화를 위한 행정명령을 발표하기에 이르렀다. 

바이든 정부가 서명한 행정명령에는 사이버 보안사고 발생 시 대응절차에 대한 표준화 지침 수립, 소프트웨어(SW) 공급망 보안 향상 및 소프트웨어 보안 강화를 위한 상세한 규정이 명시되어 있있다.

특히 기본적인 보안 수준을 충족하지 못하는 소프트웨어를 미국 연방 기관 내 유통할 수 없다는 내용을 규정하고 있어 각 소프트웨어 사업자의 보안 관리 체계가 철저해질 것으로 예상된다.

오픈소스 관리, 소프트웨어 보안 강화의 필수요소
이처럼 소프트웨어 보안을 지키기 위한 각종 규제가 강화되는 상황에서 보안위협으로부터 안전한 소프트웨어 개발 및 사용을 위해서는 상용 소프트웨어의 구성 비중이 높은 오픈소스 소프트웨어에 대한 점검이 선제적으로 이루어져야 한다. 

그러나 실제 소프트웨어 개발자 조차도 어떤 오픈소스가 제품 개발에 사용되고 있는 지 파악하지 못하는 경우가 대부분이고 실질적으로 오픈소스를 체계적으로 관리하고 있는 기업은 소수에 불과하다. 

아울러 오픈소스를 관리하고 있는 기업이라고 하더라도 수동 관리에 의존하고 있어 미탐이나 오탐 없이 안정적으로 오픈소스를 점검하고 이를 토대로 효과적인 소프트웨어 보안을 강화하는 것은 쉽지 않은 실정이다.

오픈소스를 빠르고 정확하게 점검하고 소프트웨어 보안을 철저하게 관리하기 위해서는 자동화 관리 도구를 도입하여 제품 개발에 사용된 오픈소스 내역을 빠르고 정확하게 탐지하는 것이 중요하다. 

이와 더불어 클라우드 환경 기반의 실시간 점검 서비스를 제공하는 ‘서비스형 소프트웨어(구독형 소프트웨어, SaaS)’ 모델을 통해 보안 취약점을 즉각적으로 관리하는 것이 바람직하다.  [기사 더보기]

 


[출처 : IT비즈뉴스(https://www.itbiznews.com)]

[기자 : 김선태 쿤텍 보안솔루션 사업팀]