강은성의 보안 아키텍트ㅣ개발자가 알아야 할 공급망 보안
2024.06.14
ⓒCIO Korea/강은성 | CIO KR
개발 동네에서 공개 소프트웨어가 화두가 된 지는 꽤 오래됐다. 젊은 시절(?) 개발 동네에서 나름 자부심을 갖고 일하던 ‘옛날 옛날 옛적’에도 공개 소프트웨어를 종종 활용했다. 다만, 그때는 어떤 공개 소스를 선택할지, 공개 소스 변경 시 반영하기 쉬운 구조 설계, 나아가서 어떤 라이선스를 선택할 것인지 등이 주요 관심사였다. (그때는 주로 공개 ‘소스’에 관심이 많았다.)
최근 악성코드가 포함된 공개 소프트웨어를 통해 기업이 해킹당하는 사건이 발생하면서 공개 소프트웨어를 활용하는 공급망이 기업 보안의 약한 고리로 등장했다. 공개 소프트웨어가 주로 깃허브나 PyPI(Python Package Index) 같은 코드·패키지 저장소를 통해 개발·배포되므로, 공개 소프트웨어에 관한 이슈는 공유 저장소 문제와 밀접하게 연관되어 있다.
하지만, 개발 동네에서는 여전히 공개 소프트웨어는 활용에 초점이 가 있고, 공급망 보안 관점에서 바라보고 있지 않다. 공개 소프트웨어는 전형적인 개발 문제로 기업의 개발 프로세스나 개발자 활동에 공급망 보안을 위한 보안 활동이 포함되어야 하는데 말이다. 사실 ‘기업 보안’ 매출과 인력이 압도적으로 많은 보안 동네에서도 공개 소프트웨어 공급망 보안 문제는 주로 사이버 공격의 일반적 수단인 악성코드의 배포와 악용 측면에서 다루는 한계도 있다.
개발자들이 관심 둬야 할 공급망 공격의 몇 가지 사례를 살펴보자.
(후략)
[원본기사 : https://www.ciokorea.com/news/340729]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 317259 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 306997 | 2020-10-27 |
10987 | 데이터브릭스, 유니티 카탈로그 오픈소스 제공 | 594 | 2024-06-20 |
10986 | 로봇 시각·언어·행동 통합 첫 오픈 소스 모델 'VLA' 등장.."기존 구글 RT-2 능가" | 591 | 2024-06-20 |
10985 | [수세콘2024] “센트OS 계속 쓰세요”…수세, ‘리버티 리눅스’ 새 버전 발표 | 547 | 2024-06-20 |
10984 | 애플, 온디바이스 AI용 모델·데이터셋 오픈 소스로 대거 출시 | 499 | 2024-06-20 |
10983 | [주간 OSS 동향리포트] AI, 클라우드 등 신기술 도입이 늘어나면서 국내 오픈소스SW 시장 성장 | 1144 | 2024-06-20 |
10982 | 네덜란드 델프트공대, 오픈소스 체스 로봇 개발 | 388 | 2024-06-18 |
10981 | 폭스바겐 카리아드, 오픈 소스 선언문 발표 | 396 | 2024-06-18 |
10980 | 엔비디아, 합성 데이터 생성하는 ‘네모트론-4 340B’ 출시..."비용 문제 해결한 오픈 소스 최강 성능" | 350 | 2024-06-17 |
10979 | “오픈소스 무한 잠재력 실현” …베를린에서 열리는 ‘수세콘2024’ | 290 | 2024-06-17 |
10978 | 강은성의 보안 아키텍트ㅣ개발자가 알아야 할 공급망 보안 | 282 | 2024-06-17 |
0개 댓글