ITPE * JackerLab

개요AI Bill of Materials(AI BOM)은 AI 시스템을 구성하는 데이터, 모델, 라이브러리, 인프라 등 모든 요소를 체계적으로 기록하고 관리하는 문서 및 프레임워크이다. 소프트웨어 공급망 보안에서 사용되는 SBOM(Software Bill of Materials)의 개념을 AI 영역으로 확장한 것으로, AI 시스템의 투명성, 신뢰성, 규제 준수를 확보하는 핵심 도구로 주목받고 있다. 특히 생성형 AI와 LLM이 확산되면서 데이터 출처, 모델 변경 이력, 의존성 관리의 중요성이 급격히 증가하고 있다.1. 개념 및 정의AI BOM은 AI 시스템을 구성하는 모든 요소(데이터셋, 모델, 알고리즘, 코드, 인프라 등)의 목록과 관계를 정의한 문서로, AI의 개발부터 배포, 운영까지 전 과정의 추적..

개요CycloneDX는 OWASP(Open Web Application Security Project)에서 개발한 SBOM(Software Bill of Materials) 표준 포맷 중 하나로, 소프트웨어의 구성요소, 라이브러리, 종속성, 보안 취약점 등의 정보를 체계적으로 표현하기 위한 경량화된 메타데이터 스펙입니다. SBOM을 통해 조직은 소프트웨어 공급망(Supply Chain) 전반의 투명성과 보안성을 확보할 수 있습니다.1. 개념 및 정의항목내용비고정의소프트웨어 구성요소 및 종속성을 명세하는 경량 SBOM 표준 포맷OWASP 주도 프로젝트목적소프트웨어 공급망 내 보안 취약점, 라이선스 위험, 변경 이력 추적보안 가시성 확보필요성오픈소스 및 서드파티 구성요소 증가로 인한 공급망 공격 대응글로벌 ..

개요Dependency-Track는 소프트웨어 구성요소 목록(SBOM: Software Bill of Materials)을 기반으로 오픈소스 및 서드파티 컴포넌트의 취약점을 추적하고 분석하는 공급망 보안 플랫폼입니다. 소프트웨어 라이프사이클 전반에 걸쳐 구성요소의 보안 상태를 지속적으로 모니터링하여, 조직의 소프트웨어 보안 수준을 향상시킵니다.1. 개념 및 정의 항목 내용 정의SBOM을 기반으로 소프트웨어 구성요소의 보안 취약점을 추적하는 플랫폼목적오픈소스 및 서드파티 라이브러리의 위험 식별과 관리필요성공급망 공격 증가에 대응한 소프트웨어 컴포넌트 수준의 가시성 확보2. 주요 특징특징설명차별 요소SBOM 분석 자동화CycloneDX, SPDX 등 다양한 SBOM 포맷 지원DevOps 파이프라인 통합 용..

개요OCI Artifacts는 기존 컨테이너 이미지 포맷 및 레지스트리 프로토콜을 확장하여, 모델, 정책, SBOM, 서명, WASM 등 다양한 형식의 디지털 아티팩트를 저장하고 배포할 수 있도록 정의한 표준입니다. OCI(Open Container Initiative)에서 관리하며, Docker Registry를 포함한 대부분의 OCI 호환 레지스트리에서 지원됩니다.1. 개념 및 정의 항목 설명 비고 정의컨테이너 이미지 포맷을 확장하여 비이미지 아티팩트 저장을 허용하는 OCI 표준artifactType, mediaType 필드 활용주요 목적컨테이너 레지스트리를 범용 아티팩트 저장소로 활용ORAS, Notary, SBOM 저장 등에 적용핵심 구성OCI Image Manifest 기반 구조 유지계층(L..

개요ORAS(Open Registry As Storage)는 OCI(Open Container Initiative) 아티팩트 스펙을 기반으로, Docker와 같은 컨테이너 레지스트리를 모델, 정책, 서명, WASM, Helm 차트 등 다양한 파일의 저장소로 활용할 수 있게 해주는 도구입니다. 즉, 기존 컨테이너 이미지 외에도 범용 파일을 push/pull 가능한 저장소로 만들 수 있어, 보안/배포/패키징 자동화에서 높은 활용도를 가집니다.1. 개념 및 정의 항목 설명 비고 정의OCI 레지스트리를 다양한 형식의 디지털 아티팩트 저장소로 활용하는 CLI/SDK 도구CNCF Sandbox 프로젝트목적컨테이너 레지스트리의 재사용성 확대 및 DevSecOps 통합GitHub Actions, CI/CD 대응기반..

개요CSAF 2.0(Common Security Advisory Framework)은 보안 취약점에 대한 정보를 구조화된 방식으로 전달하기 위한 국제 표준 포맷입니다. OASIS(Open Standards for the Information Society)에서 정의한 이 포맷은 JSON 기반이며, 자동화된 보안 대응과 취약점 공유를 위해 설계되었습니다. 소프트웨어 공급망, 제품 보안 팀, 보안 솔루션 벤더 등 다양한 보안 이해관계자 간의 원활한 협력을 지원합니다.1. 개념 및 정의 항목 내용 비고 정의취약점 관련 정보를 기계 판독 가능하게 제공하는 JSON 기반 보안 권고문 표준OASIS 표준 (2022년 승인)목적보안 취약점 정보를 일관되고 자동화된 방식으로 배포CVE, VEX와 연계 가능필요성복잡..

개요OSV Schema & DB(Open Source Vulnerability Schema & Database)는 오픈소스 소프트웨어 취약점 정보를 표준화된 방식으로 관리하고 공유하기 위한 스키마와 데이터베이스이다. Google이 주도하는 OSV 프로젝트는 SBOM, 보안 자동화, 취약점 탐지 도구와 긴밀히 연계되어, 소프트웨어 공급망 보안을 강화하는 핵심 인프라 역할을 한다.1. 개념 및 정의 항목 내용 설명 정의OSV Schema오픈소스 취약점 정보를 구조적으로 기술하는 표준 스키마정의OSV DB표준 스키마 기반으로 구축된 취약점 데이터베이스목적오픈소스 취약점 관리 및 공유개발자·보안팀이 동일한 데이터 활용OSV는 소프트웨어 구성 요소의 버전·패키지·플랫폼과 연계된 취약점 정보를 명확히 기술하여,..

개요Grype는 Syft가 생성한 SBOM(Software Bill of Materials) 또는 직접 컨테이너 이미지·파일 시스템을 분석해 취약점을 탐지하는 오픈소스 취약점 스캐너이다. 컨테이너 보안과 공급망 보안의 핵심 도구로, DevSecOps 파이프라인과 연계해 자동화된 취약점 관리 프로세스를 구축할 수 있다.1. 개념 및 정의 항목 내용 설명 정의Grype컨테이너/파일 시스템 취약점 스캐너목적SBOM 기반 취약점 탐지소프트웨어 공급망 보안 강화필요성오픈소스 의존성 증가보안 취약점 조기 탐지 필수Grype는 보안팀과 개발팀이 동일한 취약점 데이터를 활용하여 빠르고 일관된 대응을 가능하게 한다.2. 특징특징설명비고SBOM 기반 분석Syft와 긴밀히 연동CycloneDX, SPDX 지원광범위한 데..

개요Syft는 컨테이너 이미지 및 파일 시스템에서 소프트웨어 자재명세서(SBOM, Software Bill of Materials)를 자동으로 생성하는 오픈소스 도구이다. SBOM은 소프트웨어를 구성하는 라이브러리, 패키지, 종속성을 투명하게 기록하여 보안 및 규제 준수에 핵심적인 역할을 한다. Syft는 보안 분석, 취약점 스캐닝, 소프트웨어 공급망 보안 강화에 필수적인 도구로 각광받고 있다.1. 개념 및 정의 항목 내용 설명 정의Syft컨테이너/파일 시스템 기반 SBOM 생성기목적소프트웨어 구성 요소 식별보안 및 규제 준수 보장필요성공급망 보안 강화오픈소스 라이브러리 의존성 증가 대응Syft는 자동화된 방식으로 SBOM을 생성하여, 개발팀과 보안팀이 동일한 소프트웨어 자산 정보를 공유할 수 있도록..

개요Supply Chain Vulnerabilities(공급망 취약점)는 AI 모델 개발 및 배포 과정에서 사용되는 외부 라이브러리, 데이터셋, 모델, 플러그인 등의 무결성 부족으로 발생하는 보안 위협입니다. LLM 및 AI 서비스의 복잡한 생태계 속에서 공급망 보안은 AI 신뢰성을 좌우하는 핵심 요소로 자리잡고 있습니다.1. 개념 및 정의 구분 내용 정의AI 개발과 운영 과정에서 외부 컴포넌트(코드, 데이터, 모델 등)가 변조·악용되어 보안 위협이 발생하는 현상목적공급망 전반의 무결성·신뢰성을 확보하여 AI 서비스 보호필요성AI는 오픈소스와 외부 데이터 의존도가 높아 공급망 취약성 위험이 커짐이는 OWASP LLM Top 10의 다섯 번째 위험 요소로 분류됩니다.2. 특징특징설명비교복잡한 생태계다수의..

개요소프트웨어 공급망 공격이 점점 정교해짐에 따라, 빌드·배포 과정의 투명성과 무결성을 보장하는 것이 필수 과제가 되었습니다. 이를 해결하기 위한 CNCF(Cloud Native Computing Foundation) 산하 Tekton 프로젝트의 서브 컴포넌트가 바로 Tekton Chains입니다. Tekton Chains는 빌드 아티팩트와 공급망 이벤트에 대한 서명(Signing), 추적(Tracing), 검증(Verification) 기능을 제공하여, 신뢰할 수 있는 소프트웨어 전달을 가능하게 합니다.1. 개념 및 정의Tekton Chains는 CI/CD 파이프라인에서 생성되는 결과물(이미지, 바이너리, 메타데이터 등)에 대해 자동 서명과 감사 로그를 생성하는 오픈소스 프레임워크입니다.주요 목적은 소..

개요오픈소스 소프트웨어 사용이 급격히 증가하면서 라이선스 준수, 보안 취약점 관리, 소프트웨어 공급망 투명성이 중요한 과제가 되고 있습니다. 이러한 문제를 해결하기 위해 개발된 글로벌 표준이 바로 **SPDX(Software Package Data Exchange)**입니다. SPDX는 소프트웨어 구성 요소, 라이선스, 보안 취약점 정보를 표준화된 형식으로 교환할 수 있도록 지원하여, SBOM(Software Bill of Materials) 관리의 핵심 역할을 합니다.1. 개념 및 정의SPDX는 리눅스 재단(Linux Foundation) 주도로 개발된 소프트웨어 구성 요소 메타데이터 교환 표준입니다. 라이선스 정보, 보안 취약점, 패키지 버전 등을 기계가 이해할 수 있는 형태로 정의하여, 소프트웨어 ..

개요현대 소프트웨어는 수많은 외부 라이브러리, 패키지, 의존성으로 구성되며, 공급망 위협이 점점 증가하고 있습니다. 이를 해결하기 위한 중요한 기술 중 하나가 바로 **GUAC(Graph for Understanding Artifact Composition)**입니다. GUAC는 오픈소스 및 기업 소프트웨어 아티팩트의 구성 요소와 그 관계를 그래프 구조로 표현하여, 소프트웨어 보안, 감사, 추적성을 강화하는 오픈소스 프로젝트입니다. 본 글에서는 GUAC의 개념, 아키텍처, 주요 기능과 활용 사례를 통해 소프트웨어 보안 체계 혁신 방안을 소개합니다.1. 개념 및 정의GUAC는 소프트웨어 아티팩트의 생성, 조합, 배포 과정에서 생성되는 메타데이터를 수집하고, 이를 그래프 기반으로 통합하여 시각화 및 탐색할 ..

개요Software Bill of Delivery(SBOD)는 소프트웨어가 고객 환경에 전달될 때 포함되어야 할 구성 요소, 배포 단위, 보안 메타데이터, 인증 정보 등을 명세화한 문서 혹은 API 포맷이다. 기존의 Software Bill of Materials(SBOM)가 개발자 중심의 구성 요소 명세라면, SBOD는 배포 시점의 신뢰성과 실행 가능성을 확보하는 운영 중심의 전달 명세이다.1. 개념 및 정의 항목 설명 정의소프트웨어 릴리스/배포 단위에 포함된 컴포넌트, 보안 상태, 검증 절차 등을 명시한 전달 사양서목적배포물의 정합성, 무결성, 보안 상태를 수신자 측에서 자동으로 검증할 수 있도록 지원필요성공급망 보안(Supply Chain Security), CI/CD 신뢰성, 규제 대응 요구 증..

개요현대 소프트웨어는 수많은 오픈소스 라이브러리, 외부 의존성, 자동화된 빌드 및 배포 시스템에 의해 구성되며, 이로 인해 보안 위협이 코드 레벨을 넘어 공급망 전체로 확장되고 있습니다. 대표적인 사례로는 SolarWinds, Log4j 사태와 같은 소프트웨어 공급망 공격이 있으며, 이에 대응하기 위한 전략이 바로 **Software Supply-Chain Security (SSCS)**입니다. SSCS는 개발에서 배포까지 전 과정에서 신뢰성을 검증하고 위협을 선제적으로 차단하는 보안 프레임워크입니다.1. 개념 및 정의Software Supply-Chain Security는 코드 작성, 빌드, 테스트, 패키징, 배포, 운영 등 소프트웨어 생명주기의 모든 단계에서 보안 위협을 감지하고 대응하는 종합적인 전..

개요오픈소스는 오늘날 대부분의 소프트웨어 제품과 기술 인프라의 핵심을 이루고 있습니다. 이에 따라 조직 내부에서 오픈소스 소프트웨어를 전략적으로 활용하고, 보안 및 라이선스 이슈를 체계적으로 관리하며, 커뮤니티 참여를 촉진하기 위한 전담 조직이 필요해졌습니다. 이러한 역할을 수행하는 것이 바로 **Open Source Program Office (OSPO)**입니다. 본 글에서는 OSPO의 개념, 기능, 기술적 구성, 조직 내 가치, 실무 구축 방안을 종합적으로 설명합니다.1. 개념 및 정의**OSPO(Open Source Program Office)**는 조직 내부에서 오픈소스 사용, 기여, 배포, 정책, 보안을 통합적으로 관리하고 조율하는 전담 부서 또는 기능적 팀입니다.OSPO는 단순한 개발 부서의..

개요SBOM VEX Automation은 소프트웨어 공급망의 보안 취약점을 자동으로 식별하고, 해당 취약점이 실제로 제품에 영향을 미치는지를 VEX(Vulnerability Exploitability eXchange)를 통해 판별·자동화함으로써, SBOM(Software Bill of Materials)의 실효성과 대응 속도를 높이는 전략이다. 공급망 보안, DevSecOps, 취약점 리스크 관리에 있어 필수적인 자동화 컴포넌트로 부상하고 있다.1. 개념 및 정의SBOM VEX Automation은 SBOM 내 포함된 모든 구성 요소에 대해 발견된 취약점 정보를 수집하고, 각 취약점이 실제 악용 가능한지 여부를 자동 판단하여 VEX 문서로 생성 및 업데이트하는 일련의 자동화된 보안 프로세스이다.목적: 불..

개요소프트웨어 공급망(Supply Chain)의 취약점이 보안 위협의 주요 경로로 부상하면서, 컨테이너 이미지의 안전성과 신뢰성이 DevSecOps의 핵심 과제로 떠오르고 있습니다. 특히 공격자는 라이브러리, 베이스 이미지, 종속성 등 공급망 내부 구성요소를 악용하여 Build-Time 또는 Runtime 시점에서 침투할 수 있습니다. 이러한 배경에서 등장한 솔루션이 바로 Chainguard Images입니다. 이는 불필요한 구성요소가 제거된 미니멀(Minimal), 무 루트(Non-root), 서명된(Signed) 컨테이너 이미지로, 기업의 소프트웨어 공급망 보안 체계를 강화하는 데 최적화된 형태로 주목받고 있습니다.1. 개념 및 정의Chainguard Images는 Chainguard Inc.에서 제..

개요Rekor는 Sigstore 생태계의 핵심 구성 요소로, 코드 서명, 컨테이너 이미지, 아티팩트 등의 서명 정보를 영구적이고 투명하게 기록하는 투명성 로그(Transparency Log) 시스템입니다. 블록체인 유사 구조로 데이터 변경 불가능성을 보장하며, 소프트웨어 공급망의 신뢰성과 추적 가능성을 향상시키는 핵심 역할을 수행합니다.1. 개념 및 정의Rekor: 소프트웨어 아티팩트에 대한 서명/해시를 저장하는 공개 로그 시스템Transparency Log: 누구나 접근 가능한 로그로 변경 불가능성을 보장기능 요약: 증명 가능 서명 저장, 무결성 확인, 감사 로그 제공2. 특징 항목 설명 비교 대상 불변성 보장Append-only Merkle Tree 기반일반 DB 대비 위변조 방지 강함공개 접근성..

개요ISO/IEC 5230은 OpenChain 프로젝트를 기반으로 국제표준화기구(ISO)와 국제전기표준회의(IEC)가 공동 제정한 ‘오픈소스 라이선스 컴플라이언스’에 대한 국제 표준입니다. 기업이 오픈소스 소프트웨어(OSS)를 안전하고 책임감 있게 사용할 수 있도록 하는 프로세스, 정책, 교육 등의 요건을 정의합니다. 특히 공급망(Supply Chain)에서의 OSS 투명성과 신뢰성을 확보하는 데 중요한 역할을 하며, 소프트웨어의 상용화, 조달, 납품 과정 전반에 걸쳐 활용됩니다.1. 개념 및 정의ISO/IEC 5230은 OSS 사용에 있어 컴플라이언스 체계 수립 및 운영의 최소 요건을 명시한 오픈소스 컴플라이언스 관리 표준입니다.주요 목적오픈소스 사용 시 법적 리스크 최소화공급망 내 OSS 컴플라이언스..

개요OCI(Open Container Initiative) Distribution Spec는 컨테이너 이미지와 그 아티팩트를 다양한 레지스트리에서 안전하고 일관되게 저장, 조회, 전송할 수 있도록 정의한 오픈 표준입니다. Docker에서 파생된 생태계를 표준화하고, 도구와 플랫폼 간 호환성을 확보함으로써 클라우드 네이티브 환경에서의 유연한 이미지 배포와 아티팩트 관리를 가능하게 합니다.1. 개념 및 정의 항목 설명 정의컨테이너 이미지 및 아티팩트 전송을 위한 HTTP 기반 API 인터페이스 정의 표준 (OCI Registry API)목적Docker Registry API의 표준화, 도구 간 상호운용성 확보소속Linux Foundation 산하 Open Container Initiative 주도Distr..

개요CycloneDX는 소프트웨어 구성 요소 목록(SBOM: Software Bill of Materials)을 정의하는 경량화된 표준 사양입니다. 특히 보안에 중점을 두고 설계되어, 오픈소스 및 상용 소프트웨어의 구성 요소, 라이선스, 취약점 정보를 투명하게 관리할 수 있도록 지원합니다. CycloneDX는 보안 사고 대응 속도 향상과 공급망 위험 감소에 효과적인 도구입니다.1. 개념 및 정의 항목 설명 비고 정의소프트웨어 구성요소 정보를 명세하는 SBOM 표준 사양OWASP 주도 개발목적소프트웨어 공급망 보안 및 투명성 확보취약점 관리 용이필요성정부 및 산업계의 SBOM 요구 증가 대응미국 행정명령 EO 14028 반영CycloneDX는 JSON, XML 등 다양한 포맷을 지원하며, 자동화된 보안..

개요NIST SP 800-161r1은 미국 국립표준기술연구소(NIST)가 발행한 사이버 보안 프레임워크로, 조직의 ICT(정보통신기술) 공급망 내 **위험 관리(C-SCRM: Cybersecurity Supply Chain Risk Management)**를 체계적으로 수행하기 위한 가이드입니다. 이 개정판(r1)은 제1판에서 확장된 내용으로, 연방 정부뿐만 아니라 민간 조직, 글로벌 기업까지 적용할 수 있도록 설계되었으며, 소프트웨어, 하드웨어, 서비스 공급망에 걸친 보안 강화가 핵심입니다.1. 개념 및 정의 항목 설명 정의NIST SP 800-161r1은 조직의 ICT 공급망 내 보안 위험을 식별·평가·완화하기 위한 통합 위험 관리 프레임워크입니다.목적소프트웨어와 하드웨어의 설계부터 조달, 운영에 ..

개요디지털 전환이 가속화되면서 기업들은 더 많은 소프트웨어, 클라우드 서비스, 서드파티 API에 의존하게 되었고, 그만큼 **공급망 공격(Supply-chain attack)**에 대한 위험도 증가하고 있습니다. **DSP(Digital Supply-chain Protection)**는 이러한 복잡한 IT 환경에서 공급망의 가시성을 확보하고, 보안 위협에 대한 사전 대응 및 자동화를 통해 전체 공급망의 보안성을 확보하는 전략적 접근 방식입니다.1. 개념 및 정의**Digital Supply-chain Protection(DSP)**는 소프트웨어, 하드웨어, API, 클라우드 리소스 등 디지털 자산이 외부 공급자와 연계될 때 발생할 수 있는 보안 위험을 식별하고, 이에 대해 모니터링, 감지, 대응 및 통제..

개요in-toto Attestation은 소프트웨어 공급망의 각 단계를 추적하고, 해당 단계들이 신뢰할 수 있는 주체에 의해 수행되었음을 증명하는 보안 메커니즘입니다. SLSA(Supply-chain Levels for Software Artifacts) 및 SBOM(Software Bill of Materials) 등과 함께 현대 DevSecOps 환경에서 핵심적으로 활용되며, 소프트웨어 무결성과 신뢰성을 높이는 데 기여합니다.1. 개념 및 정의in-toto는 소프트웨어 아티팩트의 생성, 테스트, 배포 등 모든 공급망 단계에서의 행위자를 명확히 식별하고, 해당 작업이 실제로 수행되었음을 보증하는 'attestation'을 생성합니다.in-toto: 각 공급망 단계의 메타데이터(행위자, 명령어, 입력/출..

개요EU Cyber Resilience Act(CRA)는 유럽연합이 디지털 제품의 보안성과 회복력을 보장하기 위해 제정한 획기적인 규제 프레임워크입니다. 사물인터넷(IoT) 기기부터 소프트웨어 제품까지, 사이버 공격에 대응할 수 있도록 보안 설계, 패치 관리, 책임 소재를 법적으로 명확히 규정합니다. 2024년 3월 EU 이사회와 의회 합의에 따라 법제화가 가속화되었으며, 글로벌 ICT 기업에 중대한 영향을 미칠 것으로 예상됩니다.1. 개념 및 정의 구분 내용 정의유럽 내 판매되는 디지털 제품에 대해 사이버 보안 요구사항을 의무화하는 EU 법률 제도목적소비자 보호, 사이버 위협 예방, 시장 내 공정 경쟁 확보필요성IoT 및 디지털 제품 확산에 따른 보안 리스크 증가 대응2. 특징특징설명차별점보안 설계 ..

개요VEX(Vulnerability Exploitability eXchange)는 소프트웨어 구성 요소(SBOM, Software Bill of Materials) 내 발견된 취약점(Vulnerability)에 대한 실제 악용 가능성(Exploitability) 여부를 명확히 전달하기 위해 개발된 표준 포맷입니다. 단순히 취약점 존재를 알리는 것에 그치지 않고, 취약점이 현재 환경에서 실제로 영향을 미치는지를 판단할 수 있도록 정보를 제공합니다. VEX는 SBOM+VEX 조합을 통해 **공급망 보안(Supply Chain Security)**을 강화하는 데 핵심 역할을 합니다.1. 개념 및 정의 항목 설명 정의소프트웨어 내 특정 취약점에 대한 악용 가능성 여부 및 상태를 명시하는 보안 데이터 교환 포맷..

개요SSDF(Secure Software Development Framework)는 소프트웨어 개발 생명주기(SDLC) 전반에 걸쳐 보안 원칙과 요구사항을 체계적으로 통합하기 위한 지침 및 최선의 관행을 정의한 프레임워크입니다. 미국 NIST(National Institute of Standards and Technology)가 제안한 SSDF는 개발 단계부터 배포, 유지보수에 이르기까지 **보안을 내재화(Shift Left)**하여 사이버 위협에 강한 소프트웨어를 구축하는 것을 목표로 합니다.1. 개념 및 정의 항목 설명 정의소프트웨어 개발 프로세스에 보안 기능을 체계적이고 일관성 있게 적용하기 위한 프레임워크목적소프트웨어 제품의 보안 품질 향상 및 사이버 공격 표면 최소화필요성공급망 공격, 제로데이..

개요Software Composition Analysis(SCA)는 애플리케이션 내에 포함된 오픈소스 소프트웨어의 보안 취약점, 라이선스 위험, 버전 관리 상태를 자동으로 분석하는 보안 기술입니다. SCA는 오픈소스 의존성이 늘어나면서 발생하는 공급망 보안 문제를 해결하기 위한 핵심적인 DevSecOps 접근 방식으로 자리 잡고 있습니다.1. 개념 및 정의SCA는 애플리케이션 빌드 시 사용된 오픈소스 구성 요소들을 식별하고, 해당 구성 요소들의 보안 취약점, 비호환 라이선스, 패치 미적용 상태 등을 분석합니다. 이를 통해 개발 초기 단계에서부터 보안 위협을 제거하고, 소프트웨어 라이프사이클 전반에 걸쳐 리스크를 최소화할 수 있습니다.SCA는 단순한 취약점 스캐너가 아니라, 라이선스 컴플라이언스와 컴포넌트..

개요공급망 공격(Supply Chain Attack)은 해커가 기업이나 조직의 직접적인 보안망이 아닌, 그 조직과 연결된 협력사, IT 솔루션, 개발 라이브러리, 서비스 공급자 등을 통해 침투하는 사이버 공격 방식입니다. 한 번의 침투로 다수의 하위 시스템을 감염시킬 수 있어, 그 피해 범위와 위협 강도가 매우 크며, 최근 SolarWinds, Kaseya, MOVEit 등 다양한 글로벌 사건으로 주목받고 있습니다.1. 개념 및 정의 항목 설명 정의공급망 내의 신뢰된 외부 파트너나 소프트웨어를 악용하여 본래의 타깃 조직에 침투하는 공격 방식대상소프트웨어 라이브러리, 개발자 도구, 제3자 API, 하드웨어 제조사, 물류업체 등목적감지 회피, 대규모 감염, 신뢰 체계 악용2. 주요 공격 방식방식설명사례소프..