• 제목/요약/키워드: Software Supply Chain Security

검색결과 18건 처리시간 0.025초

자동차 공급망 위험관리(A-SCRM) 방안 연구 (A Study on Supply Chain Risk Management of Automotive)

  • 김동원;한근희;전인석;최진영
    • 정보보호학회논문지
    • /
    • 제25권4호
    • /
    • pp.793-805
    • /
    • 2015
  • 현대의 자동차는 안전필수(Safety Critical) 시스템이기 때문에 차량의 안전성을 보장하는 것은 물론 초 연결사회를 지향하는 사물인터넷 기술의 발전과 자동차의 스마트화 됨에 따른 자동차 보안문제가 대두됨에 따라 자동차 소프트웨어와 공급망에서의 보증 방안과 공급망에서 발생할 수 있는 위험을 식별, 평가 및 통제하기 위한 위험관리 방안이 필요하다. 본 논문에서는 자동차 Life-Cycle 내에서 이해관계자 별 위험관리(A-SCRM, Automotive Supply Chain Risk Management) 방법을 연구 제안한다.

ICT 공급망 보안기준 및 프레임워크 비교 분석 (Comparative Analysis on ICT Supply Chain Security Standards and Framework)

  • 민성현;손경호
    • 정보보호학회논문지
    • /
    • 제30권6호
    • /
    • pp.1189-1206
    • /
    • 2020
  • 최근 ICT 기업은 제품과 서비스들을 직접 설계, 개발, 생산, 운용, 유지 보수, 폐기 등을 직접 수행하지 않고 이를 외부에 위탁하거나, 외주업체가 담당하는 경우가 많아지고 있다. 위탁과 재위탁되는 과정에서 제품 및 서비스에 대한 취약점 관리 어려움 등으로 이로 인해 발생하는 공격 또한 증가하는 추세이다. 이에 대응하기 위해 해외에서는 ICT 공급망 보안 위험관리를 위한 기준과 제도를 만들어 운영 중이며, 다양한 사례 연구를 진행하고 있다. 또한, SBOM(Software Bill of Materials)등 기술적으로 공급망 보안 문제를 해결하려는 연구도 진행하고 있다. ISO 등 국제표준화기구에서도 ICT 공급망 보안을 위한 기준과 프레임워크도 만들어졌다. 본 논문에서는 미국, EU 등 주요 국가와 국제표준으로 개발된 ICT 공급망 보안기준과 제도를 비교 분석하여 국내 실정에 적합한 ICT 공급망 보안 관리 항목을 제시하고 ICT 공급망 보안제도 수립을 위한 사이버 보안 프레임워크의 필요성을 설명한다.

사이버안보 강화를 위한 소프트웨어 공급망 보안 정책 연구: SBOM 정책 추진 사례를 중심으로 (A Study on the Software Supply Chain Security Policy for the Strengthening of Cybersecurity: Based on SBOM Policy Cases)

  • 손효현;김동희;김소정
    • 디지털융복합연구
    • /
    • 제20권2호
    • /
    • pp.9-20
    • /
    • 2022
  • 공급망 공격은 주요기반시설을 타겟하여 피해 규모가 크고 공공 안전 및 국가안보를 위협하는 요소로 진화하고 있다. 이에 사이버안보 전략 및 정책 수립 시 공급망 위험관리를 명시하여 보안성을 제고하고 있으며, 2021년 미(美) 바이든 행정부가 발표한 국가 사이버안보 강화를 위한 행정명령에서는 소프트웨어 공급망 보안 강화를 위한 지침 중 일부로 SBOM을 언급하였다. 정부 차원에서 SBOM을 의무화하여 공급망 보안 검증 도구로 활용한다면, 향후 국내 조달체계에도 영향을 받을 수 있으며 정책 시행 경과에 따라 국내 공급망 보안 체계 수립 시에도 참고 가능할 것으로 보인다. 이에 따라 본 논문에서는 소프트웨어 공급망 보안 강화 방안으로써 SBOM 정책을 추진 중인 국가를 선정하여 관련 사례를 중점으로 분석하였다. 또한, 국외 SBOM 정책 동향의 비교·분석을 통하여 국내 SBOM 도입 시 기술, 정책, 법률측면에서의 활용 방안을 고찰하였다. 향후 공급망 무결성·투명성 검증 도구로 SBOM의 활용 가치가 기대되는바 SBOM에 대한 국제적 표준화 정립 및 정책 개발에 관한 지속적인 동향 파악과 표준 형식 개발 연구가 요구된다.

미국 공급망 보안 관리 체계 분석 (Analysis of U.S. Supply Chain Security Management System)

  • 손효현;김광준;이만희
    • 정보보호학회논문지
    • /
    • 제29권5호
    • /
    • pp.1089-1097
    • /
    • 2019
  • 정보통신기술의 비약적인 발전을 통하여 스마트 제조 시대가 도래하고 있다. 이에 따라 많은 기업은 제조공정의 효율적인 업무를 위해 다양한 하드웨어 및 소프트웨어를 활용하기 시작하였다. 이때 사용되는 하드웨어 및 소프트웨어들은 제조 유통 과정을 거쳐 공급되는데, 이러한 공급 과정에서 각종 보안 위협에 노출되고 있다. 최근 공급망 공격 사례가 증가함에 따라 국외에서는 공급망 관리 체계를 정립하여 공급망 위험을 관리하고 있다. 이에 반해 국내는 일부 분야에 대한 공급망 위험 관리 연구가 진행되었다. 본 논문에서는 공급망 공격 사례를 통하여 공급망 위험 관리의 필요성을 강조하고, 국외 공급망 관리 체계의 동향을 분석하여 국내의 공급망 보안전략 방안의 필요성을 설명한다.

A novel approach for analyzing the nuclear supply chain cyber-attack surface

  • Eggers, Shannon
    • Nuclear Engineering and Technology
    • /
    • 제53권3호
    • /
    • pp.879-887
    • /
    • 2021
  • The nuclear supply chain attack surface is a large, complex network of interconnected stakeholders and activities. The global economy has widened and deepened the supply chain, resulting in larger numbers of geographically dispersed locations and increased difficulty ensuring the authenticity and security of critical digital assets. Although the nuclear industry has made significant strides in securing facilities from cyber-attacks, the supply chain remains vulnerable. This paper discusses supply chain threats and vulnerabilities that are often overlooked in nuclear cyber supply chain risk analysis. A novel supply chain cyber-attack surface diagram is provided to assist with enumeration of risks and to examine the complex issues surrounding the requirements for securing hardware, firmware, software, and system information throughout the entire supply chain lifecycle. This supply chain cyber-attack surface diagram provides a dashboard that security practitioners and researchers can use to identify gaps in current cyber supply chain practices and develop new risk-informed, cyber supply chain tools and processes.

SW공급망 관리 및 SBOM 동향 (Software Supply Chain Management and SBOM Trends)

  • 류원옥;박수명;이승윤
    • 전자통신동향분석
    • /
    • 제38권4호
    • /
    • pp.81-94
    • /
    • 2023
  • The increased adoption of open source security management in supply chains is gaining worldwide attention. In particular, as security and threatening situations, such as solar winds, Kaseya ransomware, and Log4j vulnerability, are becoming more common in supply chains using software (SW)-defined networks, SW bills of materials (SBOMs) for SW products should be prepared to protect major countries like the United States. An SBOM provides SW component information and is expected to become required for SW supply chain management. We focus on SW supply chain management policies and SBOM trends in major countries and private organizations worldwide for safe SW use and determine the current status of Korea and ETRI's open source SW supply chain management trends.

공급망 위협에 대응하기 위한 암호모듈의 안전한 부팅 보안 요구사항 제안 (Secure Boot Security Requirements for Cryptographic Modules against Supply Chain Threats)

  • 박종욱;이상한;구본석;백선엽;한상윤
    • 정보보호학회논문지
    • /
    • 제33권6호
    • /
    • pp.989-1000
    • /
    • 2023
  • 공급망 위협에 대응하기 위해 Secure Boot 등의 소프트웨어 위변조 방지 기술 및 SBOM(Software Bill of Materials) 등의 관리체계 개발 연구가 활발하게 이루어지고 있다. 특히 TCG(Trusted Computing Group)에서는 신뢰할 수 있고 안전한 컴퓨팅 부팅 환경을 제공할 수 있는 TPM(Trusted Platform Module) 표준을 제시하고 있다. 본 논문에서는 암호모듈이 공급망 위협에도 안전하고, 신뢰할 수 있는 기능을 제공할 수 있도록 암호모듈을 위한 안전한 부팅 기술 도입 필요성을 설명한다. 또한, ISO/IEC 19790 표준으로 검증된 암호모듈의 취약점을 분석하고, 취약점에 대응할 수 있도록 암호모듈의 안전한 부팅을 위한 보안 요구사항을 제안한다.

공급망 보안기술 동향 (Trends in Supply-Chain Security Technologies)

  • 김대원;강동욱;최용제;이상수;최병철
    • 전자통신동향분석
    • /
    • 제35권4호
    • /
    • pp.149-157
    • /
    • 2020
  • Security threats in supply-chains can be targeted at all the users who use products related to these supply-chains as well as at single equipment or individuals. This implies that these security threats can cause nationwide economic and social damages. In particular, it is true that hardware security threat analysis technology in supply-chains has significant technical barriers due to the lack of software knowledge as well as the need to study and understand undisclosed hardware designs. In this paper, we discuss the future direction of studies by introducing basic concepts and attack cases, along with domestic and foreign technology trends related to supply-chain security technology.

가동 중 원자력시설의 SBOM(Software Bill Of Materials)구현방안 연구 (Study on the Implementation of SBOM(Software Bill Of Materials) in Operational Nuclear Facilities)

  • 김도연;윤성수;엄익채
    • 정보보호학회논문지
    • /
    • 제34권2호
    • /
    • pp.229-244
    • /
    • 2024
  • 최근 APR1400 노형과 같이 원자력발전소의 디지털 기술 적용에 따라 "이블 PLC"같은 원자력시설 대상의 공급망 공격이 증가하는 추세이다. 원자력 공급망 보안에 있어 산업 특성상 수많은 공급업체가 존재하기에 이를 체계적으로 관리할 수 있는 자원 관리 시스템이 필요하다. 하지만, 제어시스템 특성상 소프트웨어 자산의 긴 생명 주기로 인해 속성 정보가 일관되지 않게 관리된다는 문제점이 존재한다. 또한, 운영 환경의 가용성 문제로 인해 형상 관리 자동화 도입이 미흡한 상태에서 입력 오류와 같은 한계점이 존재한다. 본 연구에서는 SBOM(Software Bill Of Materials)을 적용한 체계적인 자산 관리 방안 및 자연어처리 기법을 적용한 입력 오류에 관한 개선 방안을 제안한다.

주요국 사이버보안 정책 동향 및 시사점 (Trends and Implications of Cybersecurity Policies in Major Countries)

  • 이재성;최선미;안춘모;유영상
    • 전자통신동향분석
    • /
    • 제38권4호
    • /
    • pp.58-69
    • /
    • 2023
  • Cyberspace is emerging as a critical domain requiring national-level governance and international cooperation owing to its potential financial and societal impacts. This research aims to investigate the cybersecurity policies from major countries for understanding with comprehensive perspectives. Global trends emphasize a comprehensive command-centered approach, with top leadership directing cybersecurity policies. Key policy areas include security across technology ecosystems, protection of critical infrastructure, and software supply chain security. Investment is being focused on zero-trust architectures, software bills, and new technologies like artificial intelligence. For countries like Korea, immediate response and adaptation to these trends are crucial to develop and enforce national cybersecurity policies.