소프트웨어 공급망 보안은 아무리 해도 결코 충분하지 않습니다.

소프트웨어 개발 및 전달 프로세스에 대한 공격은 소프트웨어 빌드에 악성 코드를 삽입하는 형태가 늘어나고 있으며, 이러한 공격은 기업 및 비지니스에 치명적인 결과를 초래하고 있습니다.

2020년 말, 많은 미국 정부 기관 및 일반 기업직에서 사용하는 네트워크 모니터링 도구인 SolarWinds Orion Software는 공격자가 소프트웨어 빌드 프로세스에 악성 DLL(동적 연결 라이브러리)을 주입하여 많은 기관과 기업이 피해를 입었습니다. "트로이 목마" 소프트웨어는 원격 공격자가 SolarWinds 소프트웨어를 실행하는 장치를 통해 시스템 및 기밀 데이터에 액세스할 수 있는 백도어를 생성했습니다.

​

수백 개의 조직이 SolarWinds SUNBURST 백도어 취약점의 영향을 받았기 때문에 미국 CISA(Cybersecurity & Infrastructure Security Agency)는 이것이 매우 위협적임을 발견하고 연방 부서와 기관에 영향을 받는 장치의 연결을 끊으라고 명령하는 긴급 지침을 발표했습니다.

​

"충분히 좋은" 소프트웨어 보안이란 없습니다.

​

신속한 업데이트를 출시하기 위해 소프트웨어 회사는 소프트웨어 공급망의 속도를 높일 수 있는 DevOps 방식과 도구를 채택했습니다. SolarWinds의 경우 회사는 다음을 통해 소프트웨어 및 DevOps 프로세스를 보호하려고 시도했습니다.

​

● 코드에 디지털 서명

● GitHub 관리자의 인증이 필요합니다. 그리고,

● 비밀을 사용하여 정보를 보호하고 자격 증명에 액세스합니다.

​

문제는 소프트웨어 보안을 위한 조치를 취했지만 다음과 같은 이유로 보안이 충분하지 않았다는 것입니다.

​

● 누군가 인증 코드에 로그인하기 위해 자격 증명을 훔친 경우

● GitHub의 FTP 서버에 로그인하는 데 사용되는 자격 증명이 코드에서 발견되어 공격자가 악성 소프트웨어 업데이트를 쉽게 업로드할 수 있음

● 코드 내에서 하드코딩된 기밀 내용과 자격 증명

​

​

좋은 것으로 충분하지 않을 때

​

"충분히 좋은"이라는 개념은 위협 환경이 본질적으로 변하지 않으며 알려진 모든 취약점을 이미 알고 있다는 믿음에 근거합니다.

지금쯤 우리 모두가 알고 있듯이 데이터 보호는 끊임없이 진화하는 살아있는 실체이며 위험은 본질적으로 무한히 증가합니다. 기껏해야 "충분히 좋다"라는 개념은 찰나의 순간을 포착합니다. 사이버 보안 세계가 계속 성장함에 따라 조직은 알려진 정보를 해결할 뿐만 아니라 시간이 지남에 따라 진화하는 위협에 대처할 수 있는 관행을 보장하는 보안 조치를 구현해야 합니다.

​

자사의 소프트웨어 개발 보안 및 운영 관행에 대해 우려하는 경우 다음을 수행할 수 있습니다.

​

1. DevOps 프로세스의 각 단계를 보호하기 위한 종단간 접근 방식을 적용합니다.

​

2. 제품을 고정하기보다 처음부터 제품에 보안을 구축합니다.

​

3. 하드웨어로 보호되는 키로 코드에 서명합니다.

​

4. 키 및 인증서 관리를 중앙 집중화합니다.

​

5. 하드웨어 기반 보안으로 보호되는 볼트에 비밀을 저장합니다.

​

6. 오늘 최선의 계획은 시간이 지남에 따라 변경해야 할 수도 있다고 가정합니다.

​

7. 마지막으로 점진적 개선을 허용하는 시스템 및 관행을 구현합니다.

​

지속적인 통합

​

사이버 보안 세계가 매일 직면하는 무한한 공간 문제를 처리하기 위해 누구나 완벽하게 준비할 수 있다는 보장은 없습니다. 그러나 오늘날 충분할 정도의 보안을 과거로 본다면 침해의 영향을 확실히 줄이고 필요에 따라 변경을 쉽게 구현할 수 있습니다.

​

종단간 신뢰를 구축하고 소프트웨어 공급망 보안을 제어하는 ​​방법에 대해 자세히 알기를 원하시면 "지속적인 신뢰로 DevOps 수명 주기 보호"라는 백서를 다운로드하십시오.

---

소프트웨어 라이선싱을 위한 Sentinel 솔루션

​

Sentinel의 목표는 소프트웨어 라이선스의 생성, 제공, 보호입니다. 당사의 소프트웨어 보호 제품은 고객이 수익 기회를 포착·창출하고 운영 효율성을 높이는 것을 지원하는 제품입니다.

사용하기 쉽고 유연한 라이선스 관리 프로그램인 Sentinel RMS를 사용하면 소프트웨어에 라이선스를 부여하는 동시에, 소프트웨어 보안을 최고 수준으로 보장할 수 있습니다. 유연한 라이선스 옵션을 선택하면 완벽한 고객 솔루션을 구축하여 수익 기회를 극대화할 수 있습니다. 또한, 라이선스 사용을 추적할 수 있으며, 무엇보다도 소프트웨어가 안전하게 의도대로 사용되고 있다고 100% 확신할 수 있습니다. 쉽게 사용할 수 있는 올바른 도구가 있으면 효율적인 사업 운영이 가능하므로 더 많은 수익을 올릴 수 있습니다.

Sentinel LDK는 소프트웨어를 효율적이고 포괄적으로 수익화할 수 있는 완전한 관리 시스템을 제공합니다. 모든 탈레스 제품에서 그래왔듯이, 탈레스의 주요 관심사는 귀사의 소프트웨어 보안입니다. Sentinel LDK를 사용하면 소프트웨어를 의도대로 사용하게 하고 배포하는 동시에, 고객에게 즐거운 경험을 제공하여 수익을 극대화할 수 있습니다.

​

Sentinel 솔루션에 대해 더욱 자세한 정보나 데모가 필요하시면 연락주세요.

데모는 무료입니다!