📌일본 주요 통신사 SBOM 도입을 통한 5G/LTE 보안 강화
KDDI, KDDI 종합연구소, 후지쯔, NEC, 미쓰비시종합연구소(MRI)는 8월1일 사이버 보안의 강화를 목적으로 5G나 LTE 네트워크 기기 통신분야에 소프트웨어를 구성하는 모든 컴포넌트 명세서 SBOM(Software Bill of Materials)의 도입을 위한 실증 사업에 착수한다고 발표하였습니다.
통신 시스템에 요구되는 기능의 고도화, 다양화나 오픈화에 따라 통신 시스템 내 기간 소프트웨어의 구성은 소프트웨어 부품의 단순한 조합에서 오픈소스 소프트웨어(OSS)의 소프트웨어 부품에 의한 복잡한 조합으로 변화해 왔습니다. OSS는 소프트웨어의 소스코드가 공개되어 있기 때문에 누구라도 이용이 가능하며 풍부한 기능이나 유연성을 가지고 있기 때문에 도입 사례가 확대되는 중 인데요.
하지만 소프트웨어 공급망의 변화에 따라 OSS를 포함한 소프트웨어 부품에 악성 코드의 혼입이나 취약성을 노린 사이버 공격 등이 발생할 수 있습니다. 통신 시스템에 있어서도 마찬가지로 공격의 피해를 입을 위험이 노출되고 있습니다. 공격에 대한 대응으로 소프트웨어 부품의 취약성 정보를 수집, 제공하는 데이터베이스가 이미 가동하고 있지만 통신 시스템 내의 소프트웨어 부품의 구성을 파악할 수 없는 경우 취약성이 확인되었을 때의 신속한 대응이 곤란합니다.
그렇기 때문에 소프트웨어를 구성하는 다양한 부품의 일람이나 버전 정보, 부품끼리의 의존 관계 등을 정리한 SBOM의 중요성이 급속하게 높아지고 있습니다.
이번 실증사업에서는 SBOM을 활용한 소프트웨어 공급망의 파악을 통하여 취약성 등의 위협에 대한 신속한 대응을 목표로 합니다. 통신 분야에 있어서 사이버 시큐리티를 강화하기 위해 다음 항목에 대한 조사 및 검토를 실시할 예정입니다.
1. 국내외 동향 조사 및 통신 분야에 대한 SBOM도입을 위한 가이드라인 검토
국내외의 행정기관이나 민간단체 등의 SBOM에 관련한 대처나 기존 가이드라인을 조사하고, 통신 기기 및 해당 기기의 소프트웨어 부품의 SBOM을 작성, 활용하기 위한 가이드라인을 검토
2. 통신기기에 대한 SBOM의 작성과 과제 정리
실증 사업을 통해 통신사업자가 실제로 운용하고 있는 설비의 일부를 대상으로 SBOM을 작성
3. 통신기기에 대한 SBOM의 정확도 평가
일부를 대상으로 작성한 SBOM와 툴로 작성한 SBOM의 비교를 통해 정확도 평가나 통신 분야에 있어서 주목해야할 항목을 분석하여 SBOM의 도입을 위한 과제 정리
위 5개 회사는 실증 사업에 대처하는 체제를 구축하고 2023년7월31일의 킥오프 미팅을 개최를 통하여 SBOM의 기술면・운용면의 과제를 정리하는 조사를 본격적으로 개시했습니다. 실증 사업은 KDDI가 2023년 5월 11일에 일본 총무성으로부터 「통신 분야에 있어서 SBOM의 도입을 위한 조사 용역」을 수탁하게 됨에 따라 착수하게 됩니다.
📌시놉시스, 보안 강화 위해서 SBOM 정비가 급선무
글로벌 소프트웨어 기업 시놉시스(Synopsis)는 2700개 소프트웨어의 보안 취약성을 검사한 결과, 애플리케이션 95% 이상에서 보안 취약성이 검출됐다고 보고했습니다.
검사 대상은 웹 애플리케이션(82%), 모바일 애플리케이션(13%), 소스코드와 네트워크 시스템 및 애플리케이션(5%)입니다.
시놉시스는 모의 침투 테스트, 동적 애플리케이션 보안 테스트(DAST), 모바일 애플리케이션 보안 테스트(MAST) 등의 방법으로 4300회 이상 애플리케이션 보안 검사를 진행했다고 설명했습니다. 보안 취약성이 발견된 애플리케이션 중 20%는 고위험군에 속하며 4.5%는 긴급 위험군으로 분류됐다. 72%는 저위험군입니다.
시놉시스는 이번 검사 결과를 보고 "저위험군이라고 안심할 수 없다. 낮은 리스크라도 공격의 실마리로 악용될 수 있다."라며 "실제로 모의 침투 테스트 대상의 42%, DAST 대상의 49%가 서버 명이나 유형, 버전 번호 등의 서버 파트너가 검출됐다"라고 말했습니다.
취약성의 내용으로는 애플리케이션과 서버 설정 실수가 전체 18%를 차지했습니다. 조사 대상 78%는 OWASP(Open Web Application Security Project)가 지적하는 상위 10종에 해당하는 웹 애플리케이션 취약성이 검출됐습니다.
시놉시스에 따르면 기업 및 기관 대부분은 오픈소스 컴포넌트를 조합해 사내용 소프트웨어와 솔루션 제품을 개발합니다. 그러나 소프트웨어에 적용된 컴포넌트 라이선스나 버전, 패치 현황 기록이 정확하지 않아 보안 취약성 검출 시 신속한 대응이 어렵습니다.
이에 시놉시스는 "컴포넌트의 상태를 효과적으로 추적하기 위해서는 SBOM 정비가 급선무다"라고 지적했습니다.
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
⭐기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!
*참고자료
ソフトウェア部品表の整備が急務--シノプシスが脆弱性検査動向を発表, ZDNet Japan, 2023-01-25
KDDIら5社、通信分野へのSBOM導入で実証事業--5G/LTEなどセキュリティ強化. ZDnet JP, 23-08-02
마크애니 박춘식 고문는 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다
📌일본 주요 통신사 SBOM 도입을 통한 5G/LTE 보안 강화
KDDI, KDDI 종합연구소, 후지쯔, NEC, 미쓰비시종합연구소(MRI)는 8월1일 사이버 보안의 강화를 목적으로 5G나 LTE 네트워크 기기 통신분야에 소프트웨어를 구성하는 모든 컴포넌트 명세서 SBOM(Software Bill of Materials)의 도입을 위한 실증 사업에 착수한다고 발표하였습니다.
통신 시스템에 요구되는 기능의 고도화, 다양화나 오픈화에 따라 통신 시스템 내 기간 소프트웨어의 구성은 소프트웨어 부품의 단순한 조합에서 오픈소스 소프트웨어(OSS)의 소프트웨어 부품에 의한 복잡한 조합으로 변화해 왔습니다. OSS는 소프트웨어의 소스코드가 공개되어 있기 때문에 누구라도 이용이 가능하며 풍부한 기능이나 유연성을 가지고 있기 때문에 도입 사례가 확대되는 중 인데요.
하지만 소프트웨어 공급망의 변화에 따라 OSS를 포함한 소프트웨어 부품에 악성 코드의 혼입이나 취약성을 노린 사이버 공격 등이 발생할 수 있습니다. 통신 시스템에 있어서도 마찬가지로 공격의 피해를 입을 위험이 노출되고 있습니다. 공격에 대한 대응으로 소프트웨어 부품의 취약성 정보를 수집, 제공하는 데이터베이스가 이미 가동하고 있지만 통신 시스템 내의 소프트웨어 부품의 구성을 파악할 수 없는 경우 취약성이 확인되었을 때의 신속한 대응이 곤란합니다.
그렇기 때문에 소프트웨어를 구성하는 다양한 부품의 일람이나 버전 정보, 부품끼리의 의존 관계 등을 정리한 SBOM의 중요성이 급속하게 높아지고 있습니다.
이번 실증사업에서는 SBOM을 활용한 소프트웨어 공급망의 파악을 통하여 취약성 등의 위협에 대한 신속한 대응을 목표로 합니다. 통신 분야에 있어서 사이버 시큐리티를 강화하기 위해 다음 항목에 대한 조사 및 검토를 실시할 예정입니다.
1. 국내외 동향 조사 및 통신 분야에 대한 SBOM도입을 위한 가이드라인 검토
국내외의 행정기관이나 민간단체 등의 SBOM에 관련한 대처나 기존 가이드라인을 조사하고, 통신 기기 및 해당 기기의 소프트웨어 부품의 SBOM을 작성, 활용하기 위한 가이드라인을 검토
2. 통신기기에 대한 SBOM의 작성과 과제 정리
실증 사업을 통해 통신사업자가 실제로 운용하고 있는 설비의 일부를 대상으로 SBOM을 작성
3. 통신기기에 대한 SBOM의 정확도 평가
일부를 대상으로 작성한 SBOM와 툴로 작성한 SBOM의 비교를 통해 정확도 평가나 통신 분야에 있어서 주목해야할 항목을 분석하여 SBOM의 도입을 위한 과제 정리
위 5개 회사는 실증 사업에 대처하는 체제를 구축하고 2023년7월31일의 킥오프 미팅을 개최를 통하여 SBOM의 기술면・운용면의 과제를 정리하는 조사를 본격적으로 개시했습니다. 실증 사업은 KDDI가 2023년 5월 11일에 일본 총무성으로부터 「통신 분야에 있어서 SBOM의 도입을 위한 조사 용역」을 수탁하게 됨에 따라 착수하게 됩니다.
📌시놉시스, 보안 강화 위해서 SBOM 정비가 급선무
글로벌 소프트웨어 기업 시놉시스(Synopsis)는 2700개 소프트웨어의 보안 취약성을 검사한 결과, 애플리케이션 95% 이상에서 보안 취약성이 검출됐다고 보고했습니다.
검사 대상은 웹 애플리케이션(82%), 모바일 애플리케이션(13%), 소스코드와 네트워크 시스템 및 애플리케이션(5%)입니다.
시놉시스는 모의 침투 테스트, 동적 애플리케이션 보안 테스트(DAST), 모바일 애플리케이션 보안 테스트(MAST) 등의 방법으로 4300회 이상 애플리케이션 보안 검사를 진행했다고 설명했습니다. 보안 취약성이 발견된 애플리케이션 중 20%는 고위험군에 속하며 4.5%는 긴급 위험군으로 분류됐다. 72%는 저위험군입니다.
시놉시스는 이번 검사 결과를 보고 "저위험군이라고 안심할 수 없다. 낮은 리스크라도 공격의 실마리로 악용될 수 있다."라며 "실제로 모의 침투 테스트 대상의 42%, DAST 대상의 49%가 서버 명이나 유형, 버전 번호 등의 서버 파트너가 검출됐다"라고 말했습니다.
취약성의 내용으로는 애플리케이션과 서버 설정 실수가 전체 18%를 차지했습니다. 조사 대상 78%는 OWASP(Open Web Application Security Project)가 지적하는 상위 10종에 해당하는 웹 애플리케이션 취약성이 검출됐습니다.
시놉시스에 따르면 기업 및 기관 대부분은 오픈소스 컴포넌트를 조합해 사내용 소프트웨어와 솔루션 제품을 개발합니다. 그러나 소프트웨어에 적용된 컴포넌트 라이선스나 버전, 패치 현황 기록이 정확하지 않아 보안 취약성 검출 시 신속한 대응이 어렵습니다.
이에 시놉시스는 "컴포넌트의 상태를 효과적으로 추적하기 위해서는 SBOM 정비가 급선무다"라고 지적했습니다.
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
⭐기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!
*참고자료
ソフトウェア部品表の整備が急務--シノプシスが脆弱性検査動向を発表, ZDNet Japan, 2023-01-25
KDDIら5社、通信分野へのSBOM導入で実証事業--5G/LTEなどセキュリティ強化. ZDnet JP, 23-08-02
마크애니 박춘식 고문는 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다