블랙덕, EU CRA에 대응하는 소프트웨어 공급망 보안 전략 공개

[산업일보]
지난 수년간 사이버 공격이 모든 산업에 대해 다양한 형태로 가해지고 있다. 이러한 사이버 공격은 산업계에 치명적인 사고로 이어지지만 기업 입장에서는 이에 대한 보안 체계를 마련하는 것에 대해 아직까지도 인색한 행보를 보이고 있는 것이 현실이다.

특히 보안을 강화하겠다는 말만 남기고 실행으로 옮기지 않는 경우도 어렵지 않게 찾아볼 수 있었다. 이에 EU는 오는 9월부터 사이버 복원력 법안(CRA)을 선제적으로 적용해 소프트웨어의 공급망 보안과 규제를 실시할 계획이다.

미국에 본사를 둔 AI기반 애플리케이션 보안 기업인 블랙덕은 13일 자사의 한국 총판 기업인 쿠도커뮤니케이션과 함께 기자들과 만나 EU CRA에 기업들이 어떻게 대응해야 할지에 대해 설명했다.

블랙덕 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄은 “사이버 보안 컴플라이언스 관련해 가장 많이 생각하는 것은 소프트웨어의 구성 요소 명세서(SBOM)이기 때문에 이를 생성하고 관리하는 기술적인 측면에 집중했다”며 “규제는 복잡성을 해결하는 동시에 비즈니스의 속도와 사이버보안 대응 속도에도 대응할 수 있어야 하기 때문에 능동적인 모니터링이 이뤄져야 한다”고 말했다.

자동차 산업을 예로 든 그는 “자동차 자체의 기능적, 사이버 보안은 물론, 자동차 공장에 있는 로봇, 자동차를 작동시키는 스마트폰 애플리케이션과 연동된 네트워크까지 모두 보안이 요구된다”며 “이는 과거의 선형적인 연결이 아닌 그물망 형태의 연결로 봐야 하고 보안솔루션도 이러한 인식 속에서 개발돼야 한다”고 주장했다.

EU CRA에 대해 팀 맥키 총괄은 “회사의 위치와 무관하게 소프트웨어 요소가 포함된 제품을 EU지역에 공급할 경우 모두가 이 제도에 해당된다"며 "규제 요구사항은 제품 단위로 충족여부를 결정하지만 과징금은 회사 단위로 부과돼 일부 제품은 외부 인증기관의 인증이 요구된다”고 설명했다.

팀 맥키 총괄의 발표 내용에 따르면 CRA 준수를 위해서는 단순 SBOM 생성 이상의 다층적 접근이 필요하다. 구체적으로는 ▲SCA(소프트웨어 구성 분석)를 통한 제3자 리스크 관리 및 취약점 매핑 ▲정적 분석(Coverity)을 통한 자사 코드 취약점 제거 및 안전한 API·데이터 처리 구현 ▲퍼징 테스트(Defensics)를 통한 프로토콜 수준의 공급망 검증 및 악조건 내 제품 동작 확인이 모두 요구된다.

그는 “EU CRA에 대응하는 블랙덕의 기술력은 25년간 쌓은 노하우의 연장선상에 있다”며 “▲파이프라인 보안(Pipeline Security)을 통한 빌드 워크플로우 리스크 제거 ▲SCA를 통한 소프트웨어 공급망 가시성·통제 확보 ▲악성 코드 및 취약점 탐지 ▲SBOM 관리를 통한 업스트림·다운스트림 공급망 투명성 강화 등으로 소프트웨어 공급망 전반에 대해 가시성과 통제 기능을 제공한다”고 언급했다.

팀 맥키 총괄은 “EU CRA를 준수하지 않으면 글로벌 매출의 일정 퍼센티지를 과징금으로 부과하고 시장에의 접근이 제한되는 것은 물론 EU 시장에서 퇴출될 수도 있다”며 “해당 제조사 뿐만 아니라 수입사와 총판사도 책임을 지게 된다”고 경고했다.

발표를 마무리하면 팀 맥키 총괄은 “가장 첫 번째로 기업들은 자신들의 기준선을 확립해야 하고 써드 파티의 출처를 밝힐 때는 SBOM을 작성해야 한다”고 말한 뒤 “신규 취약점이 발견될 경우 24시간 내에 리포트를 제출해야 하며 기업은 기본값으로의 보안과 보안의 내재화를 항상 염두에 둬야 한다”고 덧붙였다.