표제지
목차
제1장 서론 14
제2장 관련 연구 17
2.1. 배경지식 17
2.1.1. 소프트웨어 공급망 17
2.1.2. 소프트웨어 공급망 공격 20
2.1.3. 소프트웨어 명세서(SBOM, Software Bill of Materials) 22
2.1.4. 하이퍼레저 패브릭(Hyperledger Fabric) 23
2.2. 소프트웨어 공급망 공격 사례 24
2.2.1. 미국 솔라윈즈 공급망 공격 24
2.2.2. 육군 해안 CCTV 공급망 공격 26
2.2.3. 마이크로소프트 디지털 서명 유출 28
2.2.4. Log4J 공급망 공격 28
2.2.5. 카세야(Kaseya) 공급망 공격 30
2.2.6. 코드코브(CodeCov) 공급망 공격 30
2.2.7. 엑스코드고스트(XcodeGhost) 공급망 공격 31
2.2.8. 아수스(ASUS) 업데이트 서버 공급망 공격 32
2.2.9. 넷사랑 서버관리 공급망 공격 33
2.2.10. MeDoc 업데이트 서버 공급망 공격 34
2.2.11. Avast 다운로드 서버 공급망 공격 35
2.2.12. 공급망 공격 사례 요약 36
2.3. 미국 공급망 위험 관리 체계 분석 38
2.4. 분야별 공급망 위험 관리 39
2.5. 주요국 공급망 위험 관리 정책 동향 분석 39
2.6. 사이버 위협 동향 분석 40
제3장 미국 공급망 관리 체계 42
3.1. NISTIR 7622 42
3.2. NIST SP 800-161 42
3.3. NIST SP 800-53 Revision 5 44
3.4. NISTIR 8272 46
3.5. ICT Supply Chain Risk Management Task Force 46
3.6. Executive Order 13873 52
3.7. Executive Order 14017 53
3.8. Executive Order 14028 54
3.9. Critical Software Definition 55
3.10. The Minimum Elements For a Software Bill of Materials (SBOM) 56
3.11. NISTIR 8397 57
3.12. NIST SP 800-218 58
3.13. Assessment of the Critical Supply Chains Supporting the U.S. Information and Communications Technology Industry 60
3.14. Enhancing the Security of the Software Supply Chain through Secure Software Development Practices(OMB Memoranda M-22-18) 61
3.15. 미국 공급망 관리 체계 요약 62
제4장 국내 공급망 관리 체계 63
4.1. 네트워크 장비 구축·운용사업 추가특수조건 63
4.2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 63
4.3. IoT 보안인증서비스 64
4.4. 국가 사이버안보 기본계획 64
4.5. K-사이버 방역 추진전략 65
4.6. 국가 사이버안보센터 연례보고서 66
4.7. 공공분야 도입·운용 IT보안제품 新 보안적합성 검증체계 66
4.8. 국내 공급망 관리 체계 시사점 67
제5장 국내 공급망 검증 체계 도입 방안 68
5.1. 안전한 소프트웨어 공급망 구조 정립 방안 68
5.1.1. 소프트웨어 공급망 구조의 한계점 69
5.1.2. 안전한 소프트웨어 공급망 구조를 위한 관리적·기술적 방안 70
5.2. 안전한 소프트웨어 자산 관리 방안 72
5.2.1. 소프트웨어 자산 관리의 한계점 72
5.2.2. 안전한 소프트웨어 자산 관리를 위한 관리적·기술적 방안 73
5.3. 블록체인 기반 소프트웨어 공급망 보증 시스템 74
5.3.1. 시스템 구조 및 알고리즘 74
5.3.2. 알고리즘 실험 79
5.3.3. 알고리즘 검증 86
제6장 결론 94
참고문헌 96
요약 104
[표 3-1] NIST SP 800-53, Rev.5. Supply Chain Risk Management Family - Control List 45
[표 3-2] List of Executive Committee Organizations on Task Force 47
[표 3-3] 미국 NTIA가 공개한 SBoM 최소 요건 57
[표 4-1] 우리나라의 무역 제재 현황 67
[표 5-1] Algorithm Verification Result 88
[그림 2-1] 정보보호시스템·네트워크 장비 도입절차 19
[그림 2-2] 개발환경 침투 시나리오 도식화 21
[그림 2-3] 업데이트 서버 침투 시나리오 도식화 22
[그림 2-4] 소프트웨어 공급망 공격 추이 변화 24
[그림 2-5] SolaWinds 공급망 공격 프로세스 도식화 25
[그림 2-6] CCTV 공급망 공격 프로세스 도식화 27
[그림 2-7] Log4J 공급망 공격 프로세스 도식화 29
[그림 2-8] Kaseya 공급망 공격 프로세스 도식화 30
[그림 2-9] CodeCov 공급망 공격 프로세스 도식화 31
[그림 2-10] XcodeGhost 공급망 공격 프로세스 도식화 32
[그림 2-11] ASUS 업데이트 서버 공급망 공격 프로세스 도식화 33
[그림 2-12] 넷사랑 공급망 공격 프로세스 도식화 34
[그림 2-13] MeDoc 업데이트 서버 공급망 공격 프로세스 도식화 35
[그림 2-14] Avast 다운로드 서버 공급망 공격 프로세스 도식화 36
[그림 2-15] 주요 소프트웨어 공급망 공격 타임라인 37
[그림 3-1] ICT SCRM Risk Management Process 43
[그림 3-2] Taskforce Project Intersection Points 51
[그림 3-3] 미국 공급망 관리 체계 발전 타임라인 62
[그림 4-1] 국내 공급망 관리 체계 발전 타임라인 67
[그림 5-1] 안전한 소프트웨어 공급망 구조를 위한 관리적 방안 도식화 71
[그림 5-2] 블록체인 기반 소프트웨어 공급망 보증 시스템 도식화 74
[그림 5-3] 공급내역 및 소프트웨어 정보 블록 디자인 76
[그림 5-4] 소프트웨어 공급망 보증서 개념적 디자인 77
[그림 5-5] 블록의 상호 연관 구조도 78
[그림 5-6] SW 공급망 보증 시스템 프로토콜 79
[그림 5-7] 예시 소프트웨어 구조도 80
[그림 5-8] 공급내역 조회 프로토타입 81
[그림 5-9] 소프트웨어 정보 조회 프로토타입 82
[그림 5-10] 종속파일1 정보 조회 프로토타입 83
[그림 5-11] 종속파일2 정보 조회 프로토타입 83
[그림 5-12] 종속파일2-1 정보 조회 프로토타입 84
[그림 5-13] 종속파일3 정보 조회 프로토타입 85
[그림 5-14] 보안적합성 검증 내역 조회 프로토타입 86