아쿠아시큐리티(Aqua Security)가 엔터프라이즈급 벤더로 미국 행정 명령(EO) 14028을 준수하는 소프트웨어 공급망 보안(Software Supply Chain Security) 증명을 제공한다.
미 정부의 국가 사이버 보안 개선을 위한 행정 명령은 제로 트러스트(Zero Trust) 아키텍처를 연방 정부에서 구현하도록 요구하고, 미 연방 기관에 SW 내장 제품을 납품할 경우 SBOM(Software Bill of Materials, SW의 구성 요소를 식별하기 위한 명세서) 제출을 의무화해야 한다.
이번 미 정부의 행정 명령은 써드파티 소프트웨어 기업이 미국의 사이버 보안을 강화하고, 미국을 악의적 사이버 공격으로부터 보호하기 위해 충족하거나 초과 달성해야 하는 모든 소프트웨어 공급망 요건을 열거하고 있다.
국내 역시 올해 초 정보 보안 리더의 밤 행사에서 이동범 한국정보보호산업협회(KISIA) 회장은 “바이든 행정부가 발동한 사이버 보안을 위한 행정 명령(EO 14028)을 주목하고 따라야 한다”고 강조한 바 있으며, 지난 10월 26일에는 과학기술정보통신부와 KISA가 보코서울강남 호텔에서 ‘제로트러스트·공급망 보안 포럼 발족식’을 개최하는 등 미 정부의 행정 명령에 대처하기 시작했다.
2022년 9월, EO 14028에 이어 공개된 ‘소프트웨어 개발 관행을 통한 소프트웨어 공급망 보안 강화(Enhancing the Security of the Software Supply Chain through Secure Software Development Practices)’라는 메모에서 기관들이 구매하는 소프트웨어가 EO를 준수해야 하는 유효일을 열거하고 있다. 각 기한은 다음과 같다.
• 2023년 1월 12일까지: 기관 CIO가 벤더에게 요건을 전달
• 2023년 6월 11일까지: 중요 소프트웨어에 대해 준수 증명서 취합
• 2023년 9월 14일까지: 모든 소프트웨어에 대해 준수 증명서 취합
아쿠아로 행정 명령(EO) 및 소프트웨어 품목 명세서(SBOM) 준수
아쿠아의 소프트웨어 공급망 보안은 전체 소프트웨어 개발 라이프사이클에 걸쳐 보호를 약속하는 유일한 포괄적 솔루션이며, 소프트웨어 제공 업체가 EO 요건을 준수하고 증명하도록 지원한다.
본 솔루션은 구축 한 달 내에 기업이 준수 요건을 완수하도록 지원하며 초기 및 지속적 준수 증명을 위한 리포팅 및 관리 역량을 포함한다. 구체적으로 다음을 통해 EO 14028 준수를 보장한다.
• 수반되는 증명을 통해 개발 환경의 안전한 구성을 보장(섹션 4e i-ii)
• 수반되는 증명을 통해 코드의 출처를 신뢰할 수 있고 코드 취약점이 교정됐음을 증명(섹션 4e iii-v)
• 내부 및 써드파티 코드에 대해 기원(provenance) 데이터를 관리하고, 출시되는 제품별로 SBOM 확보(섹션 4e vi-vii)
• 수반되는 증명을 통해 안전한 개발 프로세스를 유지(섹션 4e ix)
• 수반되는 증명을 통해 데이터 정합성 및 사용 중인 오픈소스 소프트웨어의 기원 유지(섹션 4e x)
