ITPE * JackerLab

개요NIST SP 800-161r1은 미국 국립표준기술연구소(NIST)가 발행한 사이버 보안 프레임워크로, 조직의 ICT(정보통신기술) 공급망 내 **위험 관리(C-SCRM: Cybersecurity Supply Chain Risk Management)**를 체계적으로 수행하기 위한 가이드입니다. 이 개정판(r1)은 제1판에서 확장된 내용으로, 연방 정부뿐만 아니라 민간 조직, 글로벌 기업까지 적용할 수 있도록 설계되었으며, 소프트웨어, 하드웨어, 서비스 공급망에 걸친 보안 강화가 핵심입니다.1. 개념 및 정의 항목 설명 정의NIST SP 800-161r1은 조직의 ICT 공급망 내 보안 위험을 식별·평가·완화하기 위한 통합 위험 관리 프레임워크입니다.목적소프트웨어와 하드웨어의 설계부터 조달, 운영에 ..

개요CSA STAR(Security, Trust & Assurance Registry) Level 2는 Cloud Security Alliance(CSA)에서 주관하는 클라우드 보안 인증 체계 중 하나로, 국제 기준에 따른 제3자 심사를 통해 클라우드 서비스 제공자의 보안 통제를 공식적으로 검증하는 등급입니다. ISO/IEC 27001을 기반으로 하며, **CSA CCM(Cloud Controls Matrix)**의 통제 항목을 포함한 외부 감사 보고서 제출 방식으로 투명성과 신뢰를 동시에 제공합니다.1. 개념 및 정의CSA STAR는 클라우드 보안 평가의 계층 구조로, Level 2는 다음과 같은 요소로 정의됩니다:기반 표준: ISO/IEC 27001 인증 보유가 전제 조건CCM 매핑 통제: ISO/I..

개요디지털 전환이 가속화되면서 기업들은 더 많은 소프트웨어, 클라우드 서비스, 서드파티 API에 의존하게 되었고, 그만큼 **공급망 공격(Supply-chain attack)**에 대한 위험도 증가하고 있습니다. **DSP(Digital Supply-chain Protection)**는 이러한 복잡한 IT 환경에서 공급망의 가시성을 확보하고, 보안 위협에 대한 사전 대응 및 자동화를 통해 전체 공급망의 보안성을 확보하는 전략적 접근 방식입니다.1. 개념 및 정의**Digital Supply-chain Protection(DSP)**는 소프트웨어, 하드웨어, API, 클라우드 리소스 등 디지털 자산이 외부 공급자와 연계될 때 발생할 수 있는 보안 위험을 식별하고, 이에 대해 모니터링, 감지, 대응 및 통제..

개요최근 오픈소스 공급망 공격이 급증하면서, 신뢰할 수 있는 패키지 보안 시스템의 필요성이 강조되고 있습니다. OpenSSF의 Package-Analysis 프로젝트는 공개 소프트웨어 저장소에 등록되는 패키지를 자동으로 분석하여 악성 행위를 탐지하고, 투명성을 제공하는 것을 목표로 합니다. 본 글에서는 해당 프로젝트의 개념, 특징, 구성 요소, 기술적 구조, 기대 효과 및 활용 사례를 심층적으로 소개합니다.1. 개념 및 정의OpenSSF Package-Analysis는 GitHub의 OpenSSF(Open Source Security Foundation)에서 주도하는 프로젝트로, npm, PyPI, RubyGems 등의 오픈소스 패키지 저장소에 업로드된 신규 패키지를 자동으로 분석하여 잠재적 보안 위협 ..

개요OpenTitan은 Google이 주도하고, ETH Zurich, Nuvoton, G+D 등 여러 기업과 학계가 참여하는 세계 최초의 오픈소스 RoT(Root of Trust) 프로젝트입니다. 보안 칩 및 SoC(System-on-Chip) 영역에서 투명성과 검증 가능성을 높이기 위해 설계되었으며, 데이터 센터, 클라우드, IoT 디바이스 등 다양한 환경에서 하드웨어 수준의 신뢰 기반 보안을 실현하는 것을 목표로 합니다.1. 개념 및 정의 항목 설명 정의OpenTitan은 하드웨어 기반 보안 루트를 오픈소스로 구현한 프로젝트로, 부트 검증, 키 관리, 암호 연산 등 보안의 시작점 역할을 수행하는 칩 설계입니다.목적투명하고 감사 가능한 보안 하드웨어 구현으로 신뢰성 확보필요성폐쇄형 보안 칩의 불투명성..

개요NIST Special Publication 800-53 Revision 5는 미국 국립표준기술연구소(NIST)가 발행한 사이버 보안 통제 프레임워크로, 연방정부 및 민간조직의 정보 시스템에 대한 보안, 개인정보 보호, 공급망 위험 관리를 아우르는 종합적인 기준을 제공합니다. Rev.5는 기존의 보안 중심 구조를 넘어 프라이버시 보호와 상호운용성, 그리고 제로트러스트 전략 기반 설계까지 포함하여 보안 거버넌스의 미래 방향을 제시합니다.1. 개념 및 정의NIST SP 800-53은 연방정부 정보시스템(FISMA 대상 시스템) 보호를 위한 보안·프라이버시·사이버 위험 관리 통제 목록(Catalog of Controls) 입니다. Rev. 5는 ‘통합 보안 컨트롤 프레임워크’를 강조하며, 정부 기관뿐만 아..

개요SBOM(Software Bill of Materials)은 소프트웨어 구성 요소, 라이브러리, 의존성, 버전 정보 등을 문서화한 목록으로, 소프트웨어의 보안 및 라이선스 관리를 위한 핵심 도구입니다. 소프트웨어 공급망 공격이 증가함에 따라 SBOM은 보안, 규정 준수, 취약점 관리의 필수 요소로 자리 잡고 있습니다. 본 글에서는 SBOM의 개념, 필요성, 주요 구성 요소, 활용 사례 및 도입 시 고려사항을 살펴봅니다.1. SBOM이란?SBOM(소프트웨어 명세서)은 소프트웨어를 구성하는 모든 요소를 명확하게 기록한 문서입니다. 이는 하드웨어의 부품 명세서(BOM) 개념을 소프트웨어로 확장한 것으로, 각 구성 요소가 어디에서 왔고, 어떤 라이선스를 사용하는지, 어떤 취약점이 있는지를 파악하는 데 활용됩..

개요CMMC(Cybersecurity Maturity Model Certification)는 미국 국방부(DoD)가 방위산업 기반 시설(Defense Industrial Base, DIB) 내 사이버 보안 수준을 평가하고 보호하기 위해 개발한 보안 성숙도 모델 인증입니다. CMMC는 공급망 보안을 강화하고, 국가 안보를 위한 사이버 방어력을 증진하기 위한 필수적인 인증 체계입니다.1. CMMC란?CMMC는 민간 방위 계약업체(Defense Contractors)가 미국 국방부의 사이버 보안 요구사항을 준수하고 있는지 평가하는 보안 인증 프레임워크입니다. 이는 기존의 NIST 800-171 및 기타 사이버 보안 표준을 기반으로 하며, 기업이 보안 수준을 명확하게 평가받고 개선할 수 있도록 설계되었습니다.1..