예린지 (49.♡.150.20)
2024년 5월 5일 AM 02:43 · 수정됨(03:18)
현재 IT보안업계의 핫 이슈가 공급망보안과 제로트러스트 입니다.
공급망보안은 현재 미국에서 SBOM을 법제화하면서 국내에서도 22년도부터 공공기관에서 준비를 해왔고 24년도에 국정원과 과기부, 디지털플랫폼정부(이전 전자정부)가 협업하여 가이드라인이 준비되고 있습니다.
SBOM이 기존에 개발과 라이선스 관리를 위한 체계였지만 현재는 보안 취약점이 중요한 화두로 포함되고 있습니다.
현재 국제표준으로 자리잡고 있는 SPDX와 CYCLONEDX로는 보안 취약점을 관리하기에는 어려움이 있습니다. 이에 착안해서 국내에서는 보안취약점에 특화된 별도의 SBOM기준을 만들어 전체 S/W쳬계에 적용을 하려는 시도를 하고 있습니다. 이에 따른 업계의 움직임도 분주한 상황입니다.
작년 기준 SBOM 점검도구인 SCA솔루션 영업을 하고 있는 업체가 9곳이 넘게 영업을 진행하고 있습니다.
제로트러스트의 경우도 마찬가지로 과기부에서 가이드라인이 나왔고 현재 업데이트가 진행되고 있고 여러 실증 사업이 진행되고 있습니다.
국내에 제로트러스트를 표방하는 솔루션이 많이 나오고 있지만 제로트러스트르 적용하기에는 갈길이 너무 멀어서 쉽지 않은 상황입니다.
그나마 기존 망분리제도가 완화되려는 추세에 따라 좀더 빨리 진행될 수 있겠지만 아직도 갈길이 먼게 현실로 보입니다.
갑자기 뜬금없이 공급망보안과 재로트러스트를 언급하는 이유가 왜일까라는 의문을 품으시는 분들도 있을 겁니다.
다름이 아니라 다모앙이 차세대를 하면서 이런 개념들이 반영되어 튼튼한 사이트가 되었으면 하는 바람때문입니다.
현재 기능개발과 확장에 많은 회원분의 헌신으로 발전해나가고 있습니다. 하지만 한번쯤 이런 부분도 생각해 보셨으면 합니다.
특히나 시큐어코딩의 경우 개발초기에 적용하시지 않으시면 개발 막판에 적용 시 수정사항이 너무 많이 나와서 손을 쓸수가 없는 상황이 됩니다. 이 부분도 감안해 주셨으면 합니다.
20년이 아니라 200년이 가는 사이트가 되었으면 좋겠습니다.
P.S. 관련 재미있는 후담들이 있지만 그건 기회가 있을때 다시 알려드리겠습니다.
댓글 (2)
-
젤젤리
24.05.05 · 14.♡.133.222
-
참참을수없는존재의간지러움
→ 젤리 작성자
24.05.05 · 49.♡.150.20
예 맞습니다. 대국민 서비스를 하고 있는 공공기관에서도 적용하기 쉽지 않은 주제들입니다.
하물며 이제 시작하고 있는 동호회 개념의 조직에서는 적용하기 어려운 것이 현실이 맞습니다.
말씀하신대로 현 상황에 가장 최신을 다 하는게 정답이라고 생각합니다.
다모앙의 경우 일반회원이 아니라 중요자산을 관리하시는 회원님들에게만 좀더 엄격하게 적용하시면 될것으로 보입니다.
1. EIG (강화된 인증)
2. SDP (소프트웨어 정의경계)
3. M-S (마이크로 세그멘테이션)
상기 개념을 AWS를 사용하고 있기에 클라우드에서 제공하고 있는 솔루션을 적절히 사용하시면 충분할 것으로 보입니다.
항상 감사한 마음으로 사이트에 들어오고 있습니다. ^^
댓글을 작성하려면 이 필요합니다.
제로트러스트는 사실상 "핵심 개념" 이고 나머지 기술과 솔루션은 그것을 위한 도구라고 이해하고있습니다.
"누구도 믿지마" 라는 개념처럼 저희 서비스에도 최대한 적용하고자 노력하고 있습니다. 기본적으로 저희 서비스 워크로드에 접근하기 위해서는 단순 waf, f/w의 ip 기반이 아니라 RBAC 기반의 인증을 거쳐야만 가능합니다.
안전한 환경을 구축하고 서비스 하기 위해 많은 오류가 있는 것도 사실입니다.
어떠한 형태의 사고던 간에 IR 을 위해 백업, 로깅 등을 철저히 하고있습니다.