2020년 SolarWinds, 2021년 Log4Shell 사태 이후 소프트웨어 공급망(Supply Chain) 보안이 핵심 이슈로 부상했습니다. SBOM·SSDF·SLSA 프레임워크를 통해 SW 공급망 전반의 무결성·투명성을 확보합니다.
| 공격 유형 | 사례 | 설명 |
|---|---|---|
| 빌드 시스템 침해 | SolarWinds Orion | 빌드 파이프라인에 악성 코드 삽입 |
| 오픈소스 종속성 공격 | event-stream npm 패키지 | 인기 패키지에 악의적 기여자 침투 |
| Typosquatting | PyPI/npm 악성 패키지 | 유사 이름 패키지 배포로 설치 유도 |
| 의존성 혼란 공격 | Dependency Confusion | 내부 패키지명을 공개 레지스트리에 선점 |
| 취약 라이브러리 | Log4Shell(Log4j) | 광범위하게 사용되는 오픈소스 취약점 |
소프트웨어를 구성하는 모든 컴포넌트·라이브러리·버전·라이선스 정보를 기계 판독 가능한 형식으로 목록화한 명세서입니다. 미국 행정명령 EO 14028(2021)에서 연방 조달 SW에 SBOM 제공을 의무화했습니다.
| 표준 | 주관 | 형식 | 특징 |
|---|---|---|---|
| SPDX | Linux Foundation | JSON/RDF/Tag-Value | ISO/IEC 5962 표준, 라이선스 준수 중심 |
| CycloneDX | OWASP | JSON/XML | 보안 취약점 연계(VEX) 지원, DevSecOps 친화 |
| SWID | ISO/IEC | XML | 엔터프라이즈 자산 관리 중심 |
NIST가 발표한 보안 소프트웨어 개발 실천 프레임워크로, SW 개발 수명주기(SDLC) 전 단계에 보안 활동을 내재화합니다.
| 실천 그룹 | 약어 | 주요 활동 |
|---|---|---|
| 조직 준비 | PO | 보안 정책·교육·도구 체계 수립 |
| SW 보호 | PS | 코드·빌드 환경·파이프라인 무결성 보호 |
| 보안 SW 생산 | PW | 위협 모델링·보안 코딩·취약점 테스트 |
| 취약점 대응 | RV | 발견된 취약점 식별·수정·공개 |
Google이 제안한 SW 공급망 무결성 보장을 위한 프레임워크로, 빌드 아티팩트의 출처(Provenance)를 검증합니다.
| 레벨 | 요건 | 보장 수준 |
|---|---|---|
| SLSA 1 | 빌드 프로세스 문서화, Provenance 생성 | 아티팩트 출처 추적 가능 |
| SLSA 2 | 버전 관리 + 호스팅 빌드 서비스 사용 | 빌드 이력 보존 |
| SLSA 3 | 격리된 빌드 환경, 감사 로그 | 빌드 환경 조작 탐지 |
| SLSA 4 | 두 명 이상 코드 리뷰, 재현 가능 빌드 | 내부자 위협 포함 최고 수준 보장 |
코스피 8% 폭락, 서킷브레이커 발동, SK텔레콤 Claude AI 차단까지. 한국의 AI 레버리지 버블이 단 하루…
SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…
SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…
달러/원 환율이 급등하는 이유와 실생활 영향을 정리했습니다. 지금 당장 활용할 수 있는 환전·투자 대응 전략까지…
미래에셋·미래에셋벤처투자·미래에셋생명이 동반 급등한 이유는 스페이스X 상장 기대감입니다. 세 회사가 스페이스X와 어떻게 연결되어 있는지 상세히 분석했습니다.
스페이스X 상장이 계속 미뤄지는 진짜 이유를 파헤쳤습니다. 화성 계획, 스타링크 분리, 국방 계약... 머스크가 절대…