레드펜소프트, 한화생명에 SW 공급망 보안 솔루션 공급
레드펜소프트가 한화생명에 클라우드 기반의 소프트웨어(SW) 공급망 보안 솔루션 ‘엑스스캔(XSCAN)’을 공급한다고 11일 밝혔다.
SW 공급망을 이용한 공격이 금융권에도 지속적으로 발생하고 있어 이용자 피해예방 등을 위해 선제적 대응이 필요성이 대두되고 있는 가운데, 한화생명이 선제적으로 SW 공급만 보안 솔루션 도입을 추진했다.
회사측은 이번 도입 배경으로 엑스스캔이 오픈소스로 제공되거나 공표된 취약점만 관리 가능하고 이미 만들어진 상용 SW 점검은 어려운 기존 취약점 점검 방식을 보완하면서 전자금융감독규정 제29조(프로그램 통제) 가이드라인을 충족시키는 게 결정적이라고 설명했다.
XSCAN은 한화생명이 외주 개발사나 소프트웨어 벤더로부터 제공받은 업데이트∙패치 파일을 이전 버전과 비교해 이상행위가 일어날 가능성이 있는 코드나 비정상적으로 많은 변경이 있을 때 그 내용을 소명할 수 있는 서비스를 제공한다. 필요한 경우 화이트 해커가 상세분석 리포트를 제공해준다. 또한 챗GPT(ChatGPT)를 적용해 한층 더 쉽게 이상 징후 및 대처방법을 파악할 수 있게 한다.
조상현 한화생명 정보보호최고책임자(CISO)는 “소프트웨어 공급망 보안으로 공급사 소프트웨어에 사용된 log4j와 같은 제로데이 취약점을 소프트웨어 자재명세서(SBOM)를 통해 사전에 식별할 수 있다. 소프트웨어가 한화생명에서 사용되기 전 취약점을 완전히 제거해 한화생명 대고객 서비스의 정보보호 신뢰도를 제고 할 수 있기를 기대하고 있다”고 말했다.
전익찬 레드펜소프트부대표는 “XSCAN 서비스를 통해 내부 엔드포인트 장악이나 고객 서비스 사용자에 대한 연쇄 감염 등 공급망 공격으로 발생할 수 있는 막중한 피해를 사전에 차단할 수 있을 것”이라면서, “소프트웨어 패치 반입과 검증에 대한 사이버 보안 관점의 프로세스 개선 및 워크 플로우 구현을 통해 능동적이고 선제적인 사이버 대응 체계 구축이 가능하다”고 강조했다.
레드펜소프트는 정보보호 기업인 소프트캠프와 엔키의 합작회사로 지난 해 SW 공급망 보안 실증사업에 기술력을 다져온 대표기업으로 참여한 바 있다.
한편, SW 공급망 보안은 2021년 5월 미국 바이든 정부가 ‘국가 사이버보안 개선에 관한 행정명령(EO-14028)’을 발표하면서 그 중요성이 강조됐다. 2023년에는 과학기술정보통신부가 주관하여 한국인터넷진흥원(KISA)과 함께 ‘SW공급망 보안체계 구축 위한 실증사업’을 추진했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
![[멀티버스] IT 기업은 피노키오…? 왜 약속을 안 지킬까?](https://byline.network/wp-content/uploads/2023/01/MAH07094.00_00_55_00.-multibus-crop-325x216.jpg)
