2020년 SolarWinds, 2021년 Log4Shell 사태 이후 소프트웨어 공급망(Supply Chain) 보안이 핵심 이슈로 부상했습니다. SBOM·SSDF·SLSA 프레임워크를 통해 SW 공급망 전반의 무결성·투명성을 확보합니다.
| 공격 유형 | 사례 | 설명 |
|---|---|---|
| 빌드 시스템 침해 | SolarWinds Orion | 빌드 파이프라인에 악성 코드 삽입 |
| 오픈소스 종속성 공격 | event-stream npm 패키지 | 인기 패키지에 악의적 기여자 침투 |
| Typosquatting | PyPI/npm 악성 패키지 | 유사 이름 패키지 배포로 설치 유도 |
| 의존성 혼란 공격 | Dependency Confusion | 내부 패키지명을 공개 레지스트리에 선점 |
| 취약 라이브러리 | Log4Shell(Log4j) | 광범위하게 사용되는 오픈소스 취약점 |
소프트웨어를 구성하는 모든 컴포넌트·라이브러리·버전·라이선스 정보를 기계 판독 가능한 형식으로 목록화한 명세서입니다. 미국 행정명령 EO 14028(2021)에서 연방 조달 SW에 SBOM 제공을 의무화했습니다.
| 표준 | 주관 | 형식 | 특징 |
|---|---|---|---|
| SPDX | Linux Foundation | JSON/RDF/Tag-Value | ISO/IEC 5962 표준, 라이선스 준수 중심 |
| CycloneDX | OWASP | JSON/XML | 보안 취약점 연계(VEX) 지원, DevSecOps 친화 |
| SWID | ISO/IEC | XML | 엔터프라이즈 자산 관리 중심 |
NIST가 발표한 보안 소프트웨어 개발 실천 프레임워크로, SW 개발 수명주기(SDLC) 전 단계에 보안 활동을 내재화합니다.
| 실천 그룹 | 약어 | 주요 활동 |
|---|---|---|
| 조직 준비 | PO | 보안 정책·교육·도구 체계 수립 |
| SW 보호 | PS | 코드·빌드 환경·파이프라인 무결성 보호 |
| 보안 SW 생산 | PW | 위협 모델링·보안 코딩·취약점 테스트 |
| 취약점 대응 | RV | 발견된 취약점 식별·수정·공개 |
Google이 제안한 SW 공급망 무결성 보장을 위한 프레임워크로, 빌드 아티팩트의 출처(Provenance)를 검증합니다.
| 레벨 | 요건 | 보장 수준 |
|---|---|---|
| SLSA 1 | 빌드 프로세스 문서화, Provenance 생성 | 아티팩트 출처 추적 가능 |
| SLSA 2 | 버전 관리 + 호스팅 빌드 서비스 사용 | 빌드 이력 보존 |
| SLSA 3 | 격리된 빌드 환경, 감사 로그 | 빌드 환경 조작 탐지 |
| SLSA 4 | 두 명 이상 코드 리뷰, 재현 가능 빌드 | 내부자 위협 포함 최고 수준 보장 |
요양원 선택 전 반드시 확인해야 할 체크리스트를 공개합니다. 공식 평가 자료 조회법, 방문 시 확인…
공공기관 채용 비리의 실태와 피해 지원자의 대응법을 정리했습니다. 채용 비리 신고 방법, 공익신고자 보호제도, 취준생…
주식 손실을 세금 절약에 활용하는 합법적 방법을 공개합니다. 해외주식 손익통산, ISA 계좌 활용, 연금계좌 절세까지…
배달이 예상 시간보다 크게 늦으면 취소·환불을 요청할 수 있습니다. 배달앱별 지연 취소 방법과 잘못 배달됐을…
통신비 절약의 핵심은 요금제 최적화입니다. 내 데이터 사용량 확인법, 알뜰폰 전환 비교, 위약금 없이 요금제…