표제지
목차
제1장 추진 배경 10
제1절 환경변화 11
1. [변화-1] 초연결 사회의 도래 11
2. [변화-2] SW 부품 공급의 분업화 12
3. [변화-3] 공개 SW 사용의 확대 13
제2절 SW 공급망 위기 대응의 필요성 14
1. SW 공급망 공격 대응의 문제 14
2. SW 공급망 침해사고의 피해 규모 15
3. 공개 SW 사이버보안 관리의 중요성 16
4. SW 공급망 공격의 주요 유형 및 대상 18
제3절 국내외 주요국 SW 공급망 보안 정책 동향 23
1. 미국 23
2. 유럽연합(EU) 25
3. 일본 26
4. Quad 사이버보안 파트너십 27
5. 시사점 28
제2장 SW 공급망 위험관리 방안 29
제1절 안전한 SW 개발환경의 필요성 30
1. 공급망의 사이버보안 위험관리 개요 30
2. SW 개발ㆍ운영 환경의 공급망 보안체계 구축 방안 33
제2절 SW 구성요소의 신뢰성 확보 방안 41
1. SBOM이란? 41
2. SBOM의 필요성 및 효과성 42
3. SBOM 최소 요건 44
4. SW 보안취약점 및 라이선스 관리방안 47
제3절 SBOM 기반 SW 공급망 보안 강화 방안 54
1. SW 위험관리를 위한 SBOM 기반 확산 54
제3장 SBOM 기반 SW 공급망 보안 실증사례 59
제1절 SBOM 생성ㆍ활용 실증사례 60
1. 실증 개요 60
2. SBOM 생성 과정에서 SBOM 유효성 검증 61
3. SBOM 도구를 활용한 컴포넌트 관리사례 63
4. SBOM을 활용한 보안취약점 탐지 및 조치 66
제2절 SWㆍ공급망 보안 관리체계 점검 실증사례 68
제3절 자가 점검용 SW 공급망 단계별 체크리스트 70
제4장 SBOM 기반 SW 공급망 보안 활성화 지원 73
제1절 SW 보안취약점 점검 지원 테스트베드 74
1. 기업지원허브(판교) 74
2. 디지털헬스케어 보안 리빙랩(원주) 76
3. 국가사이버안보협력센터 기술공유실(판교) 80
제2절 SW 공급망 보안을 위한 SBOM 개발 86
1. 국내 SBOM 표준 사례 86
2. 국가정보원 제안 SBOM 기본항목 88
제3절 SBOM 기반 SW 공급망 보안 발전 제언 94
제5장 맺음말 96
판권기 98
표 1. 국내외 SW 공급망 침해사고의 피해 규모 15
표 2. 주요 SW 공급망 공격 유형 18
표 3. 유형별 SW 공급망 공격 대상 및 침투 경로 19
표 4. 미국의 SW 공급망 보안 추진 경과 24
표 5. 경제산업성이 공개한 SBOM 실증 로드맵(2022.05) 26
표 6. Quad 사이버보안 파트너십 요약 27
표 7. 이해관계자의 역할에 따른 주요 C-SCRM 활동 예시 32
표 8. 개발사를 위한 공급망 보안 권장 활동 35
표 9. 공급사를 위한 공급망 보안 권장 활동 36
표 10. 운영사를 위한 공급망 보안 권장 활동 36
표 11. SW 개발 생명주기(SDLC) 단계별 개념 정의 39
표 12. SSDF 구현을 위한 공급망 보안 권장 활동 39
표 13. SBOM과 기타 BOM 명세서와 비교 41
표 14. 데이터 필드의 기본항목 44
표 15. SBOM 표준간 데이터 속성 비교 45
표 16. 공개 SW 라이선스 관리 범위(예시) 51
표 17. 실증 추진계획 수립 60
표 18. SBOM 유효성 검증 단계에서 데이터 누락ㆍ중복 사례 62
표 19. SBOM 데이터를 수정ㆍ보완한 사례 62
표 20. SW 제품 형태별 SBOM 생성 후 컴포넌트 수 비교 - 기업 A 65
표 21. SW 공급망 보안 점검 실증 항목 일부 68
표 22. SW 공급망 보안 점검 상세 결과 69
표 23. SW 공급망 보안 점검 결과 미흡 사례 69
표 24. 공급망 보안 단계별 체크리스트(안) 70
표 25. SBOM 생성 도구 현황 및 주요 특징(요약) 75
표 26. 연도별 기업지원허브(IoT 테스트베드) 이용 현황 76
표 27. 보안취약점 점검도구 현황 78
표 28. 분석 도구 지원 사양 80
표 29. 분석 도구 주요 특징 81
표 30. SBOM 기반 공급망 보안 테스트베드 주요 동작 방식 82
표 31. 공급망 보안 테스트베드 활용 분석 결과 84
표 32. SW 공급망 보안 관리 체계 시나리오 85
표 33. SBOM 관련 국내외 표준 현황 86
표 34. 정보통신 단체표준 SBOM 속성 규격 87
표 35. NIS-SBOM 기본항목(*: 자체 선정) 89
그림 1. 공급망 생태계 기본 모형 11
그림 2. 전통적인 공급망과 SW 공급망 비교 12
그림 3. 2024년도 사이버보안 위협분석과 전망 리포트[KISA] 13
그림 4. 공개 SW 사용률 분석(OSSRA Report 2023) 17
그림 5. EU 사이버 복원력 법안 개정 주요 내용 25
그림 6. 공급망 전반의 사이버보안 위험 예시 31
그림 7. 다단계 전사적 위험관리(C-SCRM) 개요 32
그림 8. SW 공급망 참여자에 따른 보안 활동 33
그림 9. SW 공급망 보안 개발 프로세스 34
그림 10. NShiftKey 보안 체크 화면 40
그림 11. SBOM 활용의 효과성 42
그림 12. SBOM 도입 효과성 분석 43
그림 13. SBOM에 연계된 보안취약점 정보 예시(CycloneDX 포맷) 47
그림 14. NVD를 통한 알려진 보안취약점(CVE) 조회 화면 48
그림 15. 기본 점수에 따른 악용 가능성 분석 예시(CVSS Calculator) 49
그림 16. NVD 보안취약점의 조치방안(Log4j 예시) 49
그림 17. 공개 SW 라이선스 분류 50
그림 18. SBOM 라이선스 탐지 예시(SPDX 포맷) 52
그림 19. SW 공급망과 내ㆍ외부 SW 유형 예시 54
그림 20. SW 공급망과 내ㆍ외부 SW 유형 예시 55
그림 21. 산업별 거점을 활용한 SW 위험관리 구성도 56
그림 22. SW 공급망 관리센터 체계도 57
그림 23. SBOM 생성ㆍ공급(유통) 체계도 58
그림 24. SBOM 기반 공급망 보안 관리 실증 절차 60
그림 25. BOM 기반 공급망 보안 관리 실증 절차 64
그림 26. SBOM을 활용한 보안취약점 탐지(예시) 66
그림 27. 보안취약점 데이터베이스 검색 결과(예시) 67
그림 28. 기업지원허브 IoT 기기 사이버보안 위협 시연시설 74
그림 29. 디지털헬스케어 보안리빙랩 구성도 77
그림 30. 디지털헬스케어 보안리빙랩 현장 78
그림 31. NIS-SBOM 기본항목 적용 SW 컴포넌트별 출력 예시 92