디지털 서플라이 체인(supply-chain) 보안
Digital supply chain security디지털 서플라이 체인(supply-chain) 보안은 서플라이 체인(supply-chain) 내의 사이버 보안을 강화하기 위한서플라이 체인(supply-chain) 보안의 서브셋으로, 사이버 테러, 말웨어, 데이터 도난 및 APT(advanced persistent threat) 등의 위협에 의해 추진되는 정보기술 시스템, 소프트웨어 및 네트워크의 사이버 보안 요건 관리에 중점을 두고 있습니다.리스크를 최소화하기 위한 일반적인 서플라이 체인(supply-chain) 사이버 보안 액티비티에는 신뢰할 수 있는 [1]벤더로부터의 구입, 중요한 머신의 외부 네트워크로부터의 접속 해제, 사용자가 취할 수 있는 위협 및 보호 대책에 대한 교육 등이 있습니다.
미국 국토안보부 국가보호프로그램국(National Protection and Programs Directorate)의 그레그 섀퍼 부차관보는 청문회에서 미국 내에서 판매되는 수입 전자기기 및 컴퓨터 기기에서 악성코드가 발견된 사례가 있다는 것을 알고 있다고 말했습니다.[2]
서플라이 체인(supply-chain
- 이미 멀웨어가 설치된 상태로 전송되는 네트워크 또는 시스템 하드웨어입니다.
- 소프트웨어 또는 하드웨어에 삽입되는 멀웨어(다양한 방법으로)
- 악성 해커에 의해 발견된 공급망 내의 소프트웨어 애플리케이션 및 네트워크의 취약성
- 컴퓨터 하드웨어 위조
관련 미국 정부의 노력
- 포괄적인 국가 사이버 이니셔티브
- 국방 조달 규정:국방수권법 제806조에 기재되어 있다.
- 사이버 공간을 위한 국제 전략:백악관은 안전하고 개방적인 인터넷에 대한 미국의 비전을 처음으로 제시했다.이 전략은 외교, 개발, 국방의 세 가지 주요 주제를 요약하고 있다.
- 외교:이 전략은 국가 간 합의를 통해 수립된 허용 가능한 국가 행동의 규범을 확립함으로써 "개방적이고 상호운용 가능하며 안전하며 신뢰할 수 있는 정보통신 인프라를 촉진하는 것"을 목표로 한다.
- 개발:이 전략을 통해 정부는 "해외, 양자간, 다자간 조직을 통한 사이버 보안 역량 구축"을 도모한다.목표는 글로벌 IT인프라스트럭처를 보호하고 개방적이고 안전한 네트워크를 유지하기 위해 보다 긴밀한 국제 파트너십을 구축하는 것입니다.
- 방위:이 전략은 정부가 "우리 네트워크를 공격하거나 이용하는 것과 관련된 위험이 잠재적인 이익보다 훨씬 더 크다는 것을 보장할 것"을 요구하고 모든 국가가 네트워크 시스템을 침범하고 교란하는 범죄자와 비국가 행위자를 조사, 체포 및 기소할 것을 요구한다.
전 세계 관련 정부 노력
- 공통기준은 제품, 개발환경, IT시스템 보안, 인적자원, 물리보안 프로세스, ALC_FLR.3(시스템 결함 복구) 모듈 등 디지털 서플라이 체인(supply-chain) 보안의 모든 관련 측면을 평가할 수 있는 기회를 제공합니다.실제 현장 방문에 의한 오물 처리 및 방법까지도 가능합니다.EAL 4는 SOGIS-MRA에 서명한 국가에서는 상호 인정되며, CCRA에 서명한 국가에서는 ALC_FRL.3을 포함한 ELA 2까지 인정됩니다.
- 러시아: 러시아는 수년 전부터 비공개 기능 인증 요건을 가지고 있으며, 최근 오픈 소스 소프트웨어를 기반으로 한 국가 소프트웨어 플랫폼(National Software Platform)을 시작했습니다.이는 국가 자치에 대한 명백한 열망을 반영하여 외국 공급자에 대한 의존도를 낮춘다.
- 인도: 국가 사이버 보안 전략 초안에서 공급망 리스크의 인식.특정 제품을 제외 대상으로 하는 것이 아니라 국내 ITC 공급업체에 우선권을 부여하는 원주민 혁신 정책을 검토하여 해당 분야에서 견고하고 글로벌하게 경쟁력을 갖춘 국가의 입지를 구축하고 있습니다.
- 중국: 제11차 5개년 계획(2006~2010년)의 목표에 따라 중국은 보안에 중점을 둔 적극적인 원주민 혁신 정책을 도입하여 추진하였다.중국은 정부 조달 및 다단계 보호 계획(MLPS)을 실시하기 위해 자국 혁신 제품 카탈로그를 사용할 것을 요구하고 있습니다.다단계 보호 계획(MLPS)은 제품 개발자와 제조업체가 중국 시민 또는 법인이어야 하며 제품 핵심 기술과 주요 구성요소는 독립된 중국어 또는고유 지적 [3]재산권
민간 부문에서의 대처
- SLSA(Supply-chain Levels for Software Artacts)는 소프트웨어 공급망 전체에서 소프트웨어 아티팩트의 무결성을 보장하기 위한 엔드 투 엔드 프레임워크입니다.이 요구사항은 구글의 내부 "Binary Authorization for Borg"에서 영감을 얻었으며, 이는 구글의 모든 프로덕션 워크로드에 필수적입니다.SLSA의 목표는 업계 상태, 특히 오픈 소스를 개선하여 가장 시급한 무결성 위협으로부터 보호하는 것입니다.SLSA를 사용하면 소비자는 [4]자신이 사용하는 소프트웨어의 보안 상태에 대해 정보에 근거한 선택을 할 수 있습니다.
기타 참고 자료
- 금융권정보공유분석센터
- 사이버공간의 국제전략(백악관)
- NSTIC
- 세이프 코드 화이트 페이퍼
- Trusted Technology Forum 및 Open Trusted Technology Provider Standard(O-TTPS)
- 사이버 서플라이 체인(supply-chain) 보안 솔루션
- 펌웨어에 말웨어 삽입
- 소프트웨어 시대의 공급망
- 정보통신기술 서플라이 체인 리스크 관리 태스크포스: 중간 보고서
「 」를 참조해 주세요.
레퍼런스
- ^ Mayounga, Andre (May 2017). Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management - ProQuest.
- ^ "Homeland Security: Devices, Components Coming In With Malware". InformationWeek. 2011-07-11. Retrieved 2011-09-16.
- ^ "Bridewell Consulting". 2021년 4월 22일 목요일
- ^ "Introducing SLSA, an End-to-End Framework for Supply Chain Integrity". Google Online Security Blog. Retrieved 2021-06-17.
