미국국가안전보장국(NSA)이 소프트웨어 공급업체를 위한 공급망 보안 권장 사례 가이드를 발표했다.
해당 지침은 미국 국가 안보 시스템 및 중요 기반 시설에 대한 위협을 해결하기 위해 노력하는 민관 파트너십인 ESF를 통해 만들어졌다.
해당 문서를 통해 보안 요구사항 계획과 소프트웨어 보안 유지 관리를 포함해 공급업체에 권장되는 전체 지침을 확인할 수 있다.
NSA는 "코드를 안전하게 개발·전달하고 타사 구성 요소를 검증하며, 빌드 환경을 강화해야 하기 때문에 예방은 소프트웨어 개발자의 책임으로 간주되는 경우가 많다"며 "그러나 공급업체 또한 소프트웨어의 보안과 무결성을 보장하는 데 중요한 책임을 갖고 있다"라고 지난달 31일 밝혔다.
이어 "결국 소프트웨어 공급업체는 고객과 소프트웨어 개발자 간의 연락을 담당한다"며 "이러한 관계를 통해 추가적인 보안 기능은 계약상 합의, 알림 및 취약점 완화, 소프트웨어 릴리스 및 업데이트를 통해 적용할 수 있다"고 덧붙였다.
한편, 해당 지침은 최근 공급망 취약점이 드러난 솔라윈즈 해킹 등의 사이버 공격이 발생하면서 발표됐다. 솔라윈즈 공급망 공격은 다수의 미국 정부 기관들의 합의를 이끌어냈다.
관련기사
- 구글, 공급망 보안 메타데이터 가시성 제공한다2022.11.01
- 과기정통부, '제로트러스트·공급망 보안' 포럼 발족2022.10.26
- 구글, 오픈소스 생태계 보안패치 지원한다2022.05.17
- 기업 10곳 중 9곳 "올해도 공급망 불안 지속"2022.01.24
그 결과, 2021년 5월 미국 바이든 대통령은 미래 사이버 공격에 대비한 미국의 방어를 현대화하라는 행정명령에 서명했고, 새로운 연방 전략은 올 1월 백악관에 의해 발표돼 미국 정부가 '제로 트러스' 보안 모델을 채택하도록 했다.
이어 5월에는 미국 NIST가 기업이 공급망 공격을 방어할 수 있는 방법에 대한 업데이트된 지침을 발표하기도 했다.
