By CIOKR Staff

7개국 10개 기관, ‘‘시큐어 바이 디자인’ 개발 권고안 제시

뉴스

2023.04.183분

7개국 10곳의 기관이 보여 ‘시큐어 바이 디자인’ 지침을 만든다. 소프트웨어 개발 기업이 제품의 설계 및 기본 보안을 보장하도록 하기 위한 가이드다.

이번 공동 지침인 ‘사이버 보안 위험의 균형 전환 : 설계 및 기본 보안을 위한 원칙과 접근 방식’은 최근 일단의 소프트웨어에서 중대한 취약점이 몇몇 확인된 후 나왔다. 지난 4월 미국 사이버 보안 및 인프라 보안국(CISA)은 여러 공급업체의 산업 제어 시스템(ICS) 및 감독 제어 및 데이터 수집(SCADA) 소프트웨어의 취약점을 다루는 7가지 권고 사항을 발표했으며, 여기에는 중대한 취약점도 포함되어 있다. 몇 주 전에도 델타 일렉트로닉스, 히타치, 키사이트, 로크웰, 지멘스, VISAM 등 8개 공급업체의 ICS에 있는 49개 취약점에 대한 경고를 발표한 바 있다.

협력 기관은 다음과 같다.

– 호주 사이버 보안 센터(ACSC)
– 캐나다 사이버 보안 센터(CCCS)
– 독일 연방 정보 보안 사무소(BSI)
– 네덜란드 국립 사이버 보안 센터(NCSC-NL)
– 뉴질랜드의 컴퓨터 긴급 대응팀 뉴질랜드(CERT NZ) 및 국가 사이버 보안 센터(NCSC-NZ)
– 영국의 국가 사이버 보안 센터(NCSC-UK)
– 미국의 CISA, 연방수사국(FBI) 및 국가안보국(NSA).

시큐어 바이 디자인 vs. 시큐어 바이 디폴트
이 지침에서는 설계상 안전한 제품(products secure by design)을 단순한 기술적 기능이 아닌 고객의 보안이 핵심 비즈니스 목표인 제품으로 정의한다. 설계상 안전한 제품은 개발에 앞서 보안을 염두에 둔다. 기본적으로 안전한 제품(Products secure by default)은 구성을 거의 또는 전혀 변경할 필요 없이 즉시 사용할 수 있고 추가 비용 없이 보안 기능을 사용할 수 있는 제품을 의미한다.

이러한 접근 방식은 고객의 보안 부담을 덜어주고 보안 사고의 피해자가 될 가능성을 줄여준다고 기관들은 전했다.

기술 개발측의 역할
지침에 따르면 모든 기술 제조업체는 고객이 사이버 침입을 완화하기 위해 시스템에 대한 모니터링, 정기 업데이트 및 피해 제어를 지속적으로 수행하지 않아도 되는 방식으로 제품을 구축해야 한다. 지침은 “지금까지 기술 제조업체들은 고객이 제품을 배포한 후에 발견된 취약점을 수정하는 데 의존해왔다. 고객이 자체 비용으로 패치를 적용해야 했다. 시큐어 바이 디자인 관행을 통합해야만 수정 사항을 만들고 적용하는 악순환의 고리를 끊을 수 있다”라고 명시했다.

이들 기관들은 기술 개발자에게 시큐어 바이 디자인이 적용된 기본 제품만 고객에게 배송할 수 있도록 설계 및 개발 프로그램을 개선할 것을 촉구했다. 지침은 이를 달성하는 한 방법으로 시스템 개발자가 매력적으로 보이지만 공격 위험을 높이는 제품 기능에 집중하는 대신 광범위한 취약성을 제거하는 프로그래밍 언어로 마이그레이션하는 것을 제시했다.

영국 국가 사이버 보안 센터의 CEO인 린디 카메론은 “우리의 새로운 공동 가이드는 보안 표준에 대한 대화를 주도하고 사이버 위험의 부담을 더 이상 소비자가 떠안지 않도록 방향을 전환하는데 도움을 주는 것을 목표로 한다. 기술 제조사들이 이 가이드의 조언을 숙지하고 설계 단계부터 보안을 기본으로 하는 관행을 제품에 구현하여 우리 사회가 온라인에서 안전하고 탄력적으로 운영될 수 있도록 지원할 것을 촉구한다”라고 말했다.

기술 공급사가 제품 보안에 대한 책임을 지도록 해야
한편 이 지침에는 CISO와 기술 구매자를 위한 권장 사항과 비즈니스 보호에 도움이 되는 방법이 포함돼 있다. 특히 구매측이 기술 공급업체에게 제품 보안에 대한 책임을 물을 것을 권장한다. 이를 위해서는 시큐리티 바이 디자인 및 시큐리티 바이 디폴트임을 밝힌 제품을 우선적으로 구매해야 하며, 이를 위해 구매에 앞서 보안을 평가하도록 요구하는 정책을 수립하는 한편 필요한 경우 IT 부서가 이를 거부할 수 있는 권한을 확보해야 한다고 권고했다.

이번 지침은 더 나아가 기준을 시행함에 있어 IT 부서가 경영진의 지원을 받아야 한다고 기술했다. “특정 기술 제품과 관련된 위험을 수용하기로 한 조직의 결정은 공식적으로 문서화한 후, 고위 비즈니스 임원이 승인하고 정기적으로 이사회에 보고해야 한다”라고 명시했다. dl-ciokorea@foundryco.com

Africa

Americas

Asia

Europe

Oceania

토픽

About

정책

네트워크

자세히 보기

7개국 10개 기관, ‘‘시큐어 바이 디자인’ 개발 권고안 제시

7개국 10곳의 기관이 보여 ‘시큐어 바이 디자인’ 지침을 만든다. 소프트웨어 개발 기업이 제품의 설계 및 기본 보안을 보장하도록 하기 위한 가이드다.

추천 콘텐츠

MS AI 책임자 “AI 정신증 증가···기업, AI를 의식 있는 존재로 포장해선 안 돼”

디지털 주권, CIO가 지금 대응해야 하는 이유

GPU 수급난에 '네오클라우드' 뜬다··· AI 기업이 주목하는 이유

7개국 10개 기관, ‘‘시큐어 바이 디자인’ 개발 권고안 제시

7개국 10곳의 기관이 보여 ‘시큐어 바이 디자인’ 지침을 만든다. 소프트웨어 개발 기업이 제품의 설계 및 기본 보안을 보장하도록 하기 위한 가이드다.

글로벌 뉴스와 IT 트렌드 보고서를 무료로 받으세요!

추천 콘텐츠

MS AI 책임자 “AI 정신증 증가···기업, AI를 의식 있는 존재로 포장해선 안 돼”

디지털 주권, CIO가 지금 대응해야 하는 이유

GPU 수급난에 '네오클라우드' 뜬다··· AI 기업이 주목하는 이유