(출처=바이라인네트워크)
|

9월부터 신규 SW 취약점 발견 시 24시간 이내 보고 의무…블랙덕 “EU CRA 대응, 당장 시작하라”

유럽연합(EU)의 사이버복원력법(CRA) 시행으로 EU에서 소프트웨어(SW)가 포함된 제품을 판매하는 모든 기업에 취약점 관리 의무가 적용되는 시점이 오는 9월로 다가왔다. 이에 따라 유럽지역을 대상으로 수출하는 기업들은 소프트웨어자재명세서(SBOM)를 포함해 EU CRA 보안 요구사항 대응이 시급한 상황이다.

“EU CRA 대응을 아직 시작하지 않은 조직은 지금 바로 시작해야 한다.”

SW 공급망 보안 분야 글로벌 전문가로 EU CRA을 포함해 글로벌 SW 보증 활동에 활발히 참여하고 있는 팀 맥키(Tim Mackey) 블랙덕소프트웨어 SW 공급망 위협 전략 부문 총괄은 13일 국내 총판사인 쿠도커뮤니케이션이 개최한 기자간담회에서 국내 기업들을 향해 가장 먼저 이같은 화두를 던졌다.

전세계적으로 심각한 SW 공급망 보안 사고가 지속되고 있고, 최첨단 인공지능(AI) 기술을 악용하는 사이버공격 위협이 커지며 심각한 우려가 제기되고 있는 가운데, EU CRA 발효로 국내에서도 최근 SW 공급망 보안과 규제 대응에 대한 관심이 높아지고 있다.

EU CRA는 유럽지역(EU/EEA) 내 판매 여부를 기준으로 적용되며, 제품의 개발·생산·본사 소재지와는 무관하다. EU 시장에 SW를 포함하는 제품을 판매하는 국내 기업에도 동일하게 적용된다. 법 위반 시에는 허위 진술에 대해 전세계 매출의 2.5%, 일반 적합성 위반의 경우엔 4%에 달하는 과징금이 부과될 수 있다. 나아가 EU 공동시장 접근권 박탈이라는 최대 제재도 규정돼 있다.

팀 맥키 총괄은 이날 CRA에 대응하는 데 있어 SW 구성요소 분석과 SBOM을 기본으로, 이를 넘어서는 확장가능한 SW 공급망 보안 전략의 필요성을 강조했다.

먼저 그는 CRA를 설명하기에 앞서 “공급망에서 체인(Chain)은 원래 선형적으로 연결되지만 현대 공급망은 매우 복잡 다양하게 그물처럼 짜여있다. 따라서 공급망(Supply Chain)이 아닌 공급메시(Supply Mesh)에 가깝기 때문에, 이에 맞는 개발 마인드셋이 필요하다”고 전제하고, “CRA는 이같은 복잡성을 관리하고자 하는 법이다. 전세계 어느 곳이든 회사가 위치해 있던 간에 SW 요소가 포함된 제품을 유럽 시장에 제공하는 경우는 모두 (규제) 대상이 된다”고 말했다. 이어서 “규제 요구사항은 제품 단위로 충족 여부를 결정하며, 벌금이나 과징금은 회사 단위로 부과된다. 제품 유형별로 준수 요건이 다르고, 일부 제품은 외부 인증기관의 인증이 필요하다”고 설명했다.

CRA는 SW 공급망 리스크 관리 기준선 제시

EU CRA의 핵심 요구사항으로는 ▲소프트웨어 구성 요소에 대한 투명성 확보 ▲취약점 관리와 대응 체계 구축 ▲지속적인 보안관리 체계 등을 제시했다.

맥키 총괄은 또 “CRA는 SW 공급망 리스크 관리의 기준선을 제시하는 법안”이라고 정의했다. 그 이유로 CRA가 제시하는 리스크관리 기대수준이 ▲제3자(3rd-Party, 서드파티) 취약점이 없어야(Zero) 한다는 것 ▲기본으로 보안이 설정(Security by Default)돼야 한다는 점 ▲신규 취약점에 대한 신속 보고(24시간 이내) ▲테스트 과정에서의 의사결정과 결과에 대한 기록 관리(문서화) ▲강력한 오픈소스 SW 거버넌스(관리) ▲적합성 진술서(Conformity Statement) 확보를 요구하고 있다는 것을 들었다.

그는 “블랙덕은 CRA를 위한 솔루션을 지난 25년간 쌓아온 기술 스펙을 기반으로 한 연장선으로 제공하고 있다. 기술 스펙은 가장 기본이 되는 소프트웨어 구성요소 분석(SCA)부터 SBOM 관리, SW 개발 전체의 보안을 구현하는 파이프라인 보안, 익스플로잇과 악성코드 탐지라는 4가지 계층으로 구성돼 있다”라면서 “패키지 매니저는 매우 단순하고 심플해서 컴파일 라이브러리, 서드파티 제공 바이너리, AI 코드 어시스턴트가 생성한 AI코드 등 출처가 다양한 모든 코드에 대한 전체 가시성을 제공하기에는 불충분하다”고 말했다.

아울러 그는 “우리는 세가지 유형의 리스크에 주목해 각 리스크에 맞는 제품을 제공한다”며 “CRA 규정에 따라 취약점이 있는 상태로 제품을 출하해서는 안되기 때문에, SCA 솔루션으로 서드파티, 즉 외부에서 온 코드를 모두 테스트하며, SBOM 생성까지 제공한다. 또 SW가 출시되는 시점에 취약점 공개 보고서(VDR) 생성, 출시 이후 공급망에서 SW 신규 취약점이 발견됐을 때 생성해야 하는 취약점 악용 가능 보고서(VEX) 생성 기능도 지원한다. 이 두가지는 오는 9월부터 제조사들에 의무화되는 규정이다. 오는 2027년부터는 자체(1st-Party) 코드 분석도 의무화되는데, 암호화 기술 분석과 알려진 취약점 분석이 포함된다. 궁극적으로 하위 시스템이나 임베디드 시스템의 펌웨어에 대한 보안성도 개선해야 한다”고 설명했다.

이에 더해 “CRA 의무사항을 이행, 검증하고 보안 워크플로우를 구현하기 위해서는 SCA 스캔이 반드시 필요하다. VDR과 VEX 문서가 반드시 필요하며, 신규로 나타나는 취약점을 지속적으로 모니터링하는 것이 매우 중요하다. 24시간이라는 보고 주기를 맞추기 위해서는 스캔만으로는 부족하고 지속적인 모니터링이 반드시 필요하며, 문서화해 기록하는 것이 기본이 돼야 한다”라면서 “궁극적으로 CRA는 사이버보안은 제품 품질의 일부라는 것을 이야기하고 있는 것”이라고 강조했다.

예를 들어 “자동차 산업이 차량 내 소프트웨어, 제조, 클라우드, 네트워크 인프라 전반에 걸쳐 보안 생태계를 구축한 것처럼, SW를 포함하는 모든 제품 제조사는 보안을 개발 프로세스에 내재화해야 한다”는 의미라는 게 그의 설명이다.

25년간 노하우 집약, 유연한 맞춤형 SBOM 지원…“신규 취약점 발견시 4시간 이내 대응”

맥키 총괄은 블랙덕의 강점으로 “공급망 보안과 관련해 우선 매우 유연한 SBOM 템플릿을 지원한다. SBOM을 생성하는 기업에 꼭 필요한 정확한 정보만 포함될 수 있도록 지원하는 것이 장점이다. 전세계 표준 규격 전체 필드를 모두 지원하지만 국가별로 필요한 정보는 다를 수 있기 때문에 국가별로 맞춤화해 제공할 수 있도록 했다”라면서 “신규 취약점이 발견됐을 때 블랙덕은 4시간 이내로 대응할 수 있다는 것도 강점이다. 취약점이 실제로 발표되기 며칠 전에 이미 데이터를 확보하고 있는 경우도 있다. 따라서 취약점이 공개되는 시점에 전세계 고객들은 거의 실시간으로 업데이트를 받을 수 있다”고 말했다.

블랙덕은 25년 이상의 업력을 보유한 글로벌 애플리케이션 보안 기업으로, 오픈소스 SW(OSS) 보안과 SW 공급망 관리 분야를 선도하는 전문기업이다. 방대한 보안 인텔리전스와 AI 기반 분석 기술을 바탕으로, 기업이 안전하고 규제에 부합하는 소프트웨어를 개발·운영할 수 있도록 지원한다. 블랙덕의 국내 공인 총판인 쿠도커뮤니케이션은 정보보안, 물리보안, 융합보안관제 플랫폼을 제공하는 종합 보안 솔루션 제공 기업이다.

한편, EU CRA는 2024년 12월 10일 공식 발효됐고, 세부 이행요건은 지난해 12월 공표됐다. 취약점 관리 의무는 올해 9월부터 적용된다. 전체 적합성 요건에 대한 단계적 집행은 9월부터 내년 12월까지 단계적으로 이뤄진다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.