다양한 형식의 SBOM 모니터링과 분석으로 사전에 공격 가능성 차단 및 예방
[디지털경제뉴스 박시현 기자] 쿤텍은 자체 개발한 SW 공급망 관리 솔루션 ‘ ’이지스-SCM’을 KB국민은행에 공급했다고 밝혔다.
‘이지스-SCM’은 소프트웨어 자재 명세서(SBOM) 관리에 특화된 솔루션으로, 소프트웨어 개발 생명주기(SDLC) 전체에 걸친 공급망 보안 통합 관리를 지원한다.
전 산업 분야에 걸친 디지털 전환이 가속화되면서 소프트웨어 공급망이 복잡해지고 각 소프트웨어 사이의 상호 의존성이 증가하고 있다. 이처럼 공급망과 구성요소의 관계가 복잡해질수록 체계적인 보안 점검이 어려워지므로 공격자의 침투 경로가 다양해질 수밖에 없다. 이러한 상황에서 공급망에 대한 공격을 선제적으로 관리하기 위해서는 SBOM 모니터링을 통해 공급망을 구성하는 각 구성요소에 대한 가시성을 파악하고 소프트웨어 개발 생명주기 전 과정에 대한 보안 관리를 수행해야 한다.
이지스-SCM은 SBOM 기반 공급망 보안 통합 관리 솔루션으로 SPDX, jason, spdx.xml, yaml, rdf.xml 등 다양한 형식의 SBOM 분석을 제공한다. 또한, SBOM 정보 수집 및 모니터링을 기반으로 소프트웨어 업데이트 또는 패치 시 기존 소프트웨어와 파일의 변화 수치를 청크 단위로 비교해 악성코드의 유입 또는 변조 가능성을 측정할 수 있다. 뿐만 아니라 이지스-SCM은 바이너리 파일에 사용한 인증서 분석을 통해 파일의 변조 유무를 판단할 수 있어 사전에 공격 가능성을 차단할 수 있도록 지원한다.
저작권자 © 디지털경제뉴스 무단전재 및 재배포 금지
