SW 공급망 공격으로 알아보는 달라진 SW 선택 기준

기술이 발전함에 따라 IT 관리자의 운영 환경은 점점 좋아졌습니다. 적은 노력으로 더 많은 인프라를 운영할 수 있게 되었으니까요. 하지만 동시에 더 안좋아진 것도 있습니다. IT 보안 환경은 기술이 발전하면서 점점 더 안좋아지는 것 같은데요. 디지털화, 클라우드, 디지털트랜스포메이션이라는 물결에 따라 IT 환경은 점점 고도화되고 있습니다만, 동시에 IT 관리자가 신경써야 할, 외부의 공격으로부터 안전하게 지켜야 할 대상 역시 늘어나고 있습니다. IT 관리자의 노력에도 불구하고 보안 사각지대가 많아지고 있다는 것이고, 이로 인한 피해 역시 줄어들 기미가 보이지 않는 것 같습니다.

<이미지 출처 : KISA 블로그, 2023년 하반기 사이버 위협 동향 보고서 - 침해사고 현황 편>

올해 초 KISA에서 발표한 2023년 하반기 사이버 위협 동향 보고서를 보면, 2023년 KISA에 신고된 사이버 침해사고 신고 건수는 2022년 대비 12% 증가했습니다. 2021년에서 2022년에 거의 2배에 가깝게 증가된 것에 비하면 증가폭이 많이 둔화되었지만, 신고 건수가 줄어들지 않았다는 것이 중요하고요. 사실 이렇게 KISA에 신고했다라는 것은 기업 내부적으로 수습이 어려울 정도의 피해를 입은 사례라고 봐야하기 때문에, 신고되지 않은 건들 까지 합하면 아마 사이버 침해사고는 훨씬 더 많을 것이라고 예상해도 무리는 아닐 것입니다.

<이미지 출처 : KISA 블로그, 2023년 하반기 사이버 위협 동향 보고서 - 침해사고 현황 편>

이번에는 사이버 침해사고 중 2023년 하반기에 발생한 대표적인 사고 사례를 볼까요? KISA에서 발표한 2023년 하반기 주요 사고 사례는 위와 같은데요. 총 7개의 사례 중 데이터 및 자산 유출이 3건, 탈취한 개인정보 활용 자동화 공격 1건, 그리고 공급망 및 솔루션 취약점 공격이 3건입니다. 이 중에서 제 관심을 끈 것은 공급망 공격인데요. 10월에 발생한 백업 솔루션 취약점 공격도 공급망 공격의 범주에 넣어도 될 것 같습니다. 따라서, 7건 중 3건이 공급망 공격이라고 봐야겠죠.

공급망 공격은 SW 공급망 공격을 뜻하는데요. 익숙한 분도 계실테지만 생소하다고 느끼시는 분들이 더 많을 것 같습니다. 그래서 이번 콘텐츠에서는 SW 공급망 공격이 무엇이며 어떤 사례가 있는지, 이러한 SW 공급망 공격을 방어하기 위해 정부 차원에서 취하고 있는 조치는 무엇인지, , SW 공급망 공격을 예방하기 위해 SW 선택 시 무엇을 고려해야 하는지에 대해 알아보겠습니다. 아젠다는 아래와 같습니다.

​

1. SW 공급망 공격이 뭘까? 개념과 사례

• ■SW 공급망 공격이란?

SW 공급망 공격이 뭔지 알아보기 전에, 먼저 SW 공급망의 개념부터 알아봅시다. SW 공급망은 SW 개발부터 최종 사용자에게 전달되기까지의 모든 단계를 포함하는 일련의 프로세스를 말합니다. 여기에는 SW를 개발, 테스트, 배포하는 다양한 구성 요소와 이를 지원하는 모든 시스템, 도구, 및 인프라가 포함되는데요. SW는 개발자가 코드를 작성하고 컴파일해서 빌드한 다음 제대로 작동하는지 테스트하는 과정을 차례대로 거칩니다. 그리고 테스트를 통과한 SW를 서버에 업로드해서 다른 사람들이 다운로드받을 수 있도록 배포하는 과정으로 이어지죠. 이후 SW 개발자, 그리고 개발자가 소속되어있는 SW 개발 회사는 이 SW를 업데이트, 패치를 통해 지속적으로 관리해 나갑니다.

<이미지 출처 : 보안뉴스, [카드뉴스] ‘최근 가장 뜨거운 보안 이슈’, 공급망 공격>

그렇다면 SW 공급망 공격은 무엇일까요? 앞서 설명한 SW 공급망의 특정 단계에서 행해지는 공격을 SW 공급망 공격이라고 할 수 있겠죠? SW 공급망 단계 별로 살펴보면, 해커가 공개된 오프소스 라이브러리에 악성코드를 삽입하고 개발자가 이것을 사용하면 SW에 악성코드가 삽입될 수 있습니다. 그리고 해커가 SW 제조사 개발 환경에 침투하여 작성 중인 코드에 악성코드를 추가할 수 있고요. SW 패키징 과정에서 악성코드를 추가하거나, 배포 서버를 해킹하여 배포되는 설치 파일을 변조할 수도 있습니다. 그리고 마지막으로, 해커가 사용자에게 배포되는 SW 업데이트 파일에 악성코드를 삽입하여, 정상적인 업데이트 과정을 통해 악성코드가 사용자 PC나 서버에 설치되도록 합니다.

일반적으로 업계에 통용되는 SW 공급망 공격은 위의 이미지와 같이, SW 설치 및 업데이트 배포 과정에 침입해 악성코드를 심어 배포하는 형태의 공격을 말합니다. 사용자 입장에서는 이미 사용하고 있는 SW의 패치나 업데이트는 별다른 의심 없이 수행하게 되죠. 그 허점을 노린 공격이라고 할 수 있습니다. 그래서 사용자가 이 공격을 막아내기 매우 어렵습니다.

• ■대표적인 SW 공급망 공격 사례

<이미지 출처 : 와이드경제, [카드뉴스] '솔라윈즈' 사상 최악의 해킹 사건>

가장 대표적인 SW 공급망 공격 사례로 솔라윈즈(SolarWinds) 해킹 사건이 있습니다. 솔라윈즈는 글로벌 네트워크 모니터링 솔루션 제조사로, 2020년 말, 자사의 네트워크 모니터링 소프트웨어인 오리온(Orion)의 업데이트 파일에 악성코드가 삽입된 것을 발견했습니다. 이 악성코드는 러시아 해커 그룹으로 알려진 '노벨리움(Nobelium)'에 의해 삽입된 것으로 추정되었는데요. 이 공격으로 인해 미 국무부, 재무부, 국토안보부, 국방부 등 주요 정부 기관을 포함한 많은 기관이 피해를 입었고, 솔라윈즈의 30만개 고객 중 18,000개 이상의 기업들이 피해를 당한 것으로 알려졌고요. 솔라윈즈 SW 공급망 공격은 사이버 보안 역사상 가장 큰 해킹 사례 중 하나로 거론되고 있습니다.

<이미지 출처 : 디지털투데이, KISA, 카세야 랜섬웨어 경고...제품 사용 중단 권고>

2021년 7월에는 미국의 IT 관리 소프트웨어 제공업체인 카세야(Kaseya)의 VSA 소프트웨어가 해킹당했습니다. 해킹의 배후로 지목된 러시아의 해커집단 레빌(REvil)은 카세야의 소프트웨어 업데이트를 통해 랜섬웨어를 배포했는데요. 이 공격은 카세야의 고객뿐만 아니라, 그 고객사의 고객들까지도 영향을 받는 대규모 공급망 공격으로 이어졌습니다. 카세야의 SW를 사용하는 스웨덴 최대 슈퍼마켓 체인 가운데 하나인 ‘쿱스웨덴’은 결제 시스템 장애로 인해 점포 800여 곳이 휴점하는 등 전세계 약 1천여개의 기업들이 피해를 당했다고 추정되고 있고요. 해커들은 각 기업의 데이터를 암호화하고, 총 790억 상당의 비트코인을 몸값으로 요구했다고 합니다. 

<이미지 출처 : YTN, RFA "北, 회원 1,200만 명 온라인 통화 서비스업체 해킹">

2023년 3월, VoIP 소프트웨어 제공업체인 3CX의 공급망이 북한 해커에 의해 공격당했습니다. 3CX는 맥도날드와 코카콜라, BMW 등 전 세계 190개국 60만 개 기관에서 하루 1,200만 명이 사용하는 SW로, 해커들은 3CX의 SW 빌드 시스템에 악성코드를 삽입했고, 이로 인해 악성코드가 포함된 SW가 3CX 고객들에게 배포되었습니다. 이 해킹 사건으로 인해 3CX의 많은 고객들이 악성코드에 감염되었으며, 3CX 고객사의 내부 시스템이 손상되거나 데이터가 유출되는 등 많은 피해가 발생했는데요. 해킹의 배후가 북한의 해커 집단으로 밝혀져 국내 미디어에서도 비중있게 다룬 대표적인 SW 공급망 공격 사례입니다.

위에 소개한 사례 외에도 전 세계적으로 SW 공급망 사건이 잇따라 발생하고 있어, 최근 보안 업계에서 이 SW 공급망 공격이 큰 화두로 떠오르고 있습니다. 그렇다면 업계에서는 어떻게 대응하고 있을까요? 다행히 정부 차원에서 SW 공급망 공격에 대비하게 위해 여러 가지 정책을 내놓고 있는데요. 그 내용이 무엇인지 구체적으로 살펴보겠습니다.

​

2. SW 공급망 공격 대응을 위한 특단의 조치, SBOM

<이미지 출처 : LeanIX, SBOMs: What Does EO 14028 Actually Mean For You?>

솔라윈즈 SW 공급망 공격 사건 이후, 미국은 SW 공급망 보안을 강화하기 위해 취한 다양한 조치들 중 핵심은 SBOM입니다. SBOM은 Software Bill of Materials의 약자로, SW를 구성하는 모든 컴포넌트의 목록을 제공하는 문서인데요. SW의 취약점 점검, 분석, 필요한 보안 조치 개발 등 SW의 보안을 강화하는 데 중요한 역할을 합니다. 미국은 이 SBOM을 활용해 아래와 같은 조치를 시행하고 있습니다.

• ●EO(Executive Order, 행정 명령) 14028 : 2021년 5월, 바이든 대통령은 w자국 내 사이버 보안 환경을 개선하기 위한 Executive Order 14028을 시행했습니다. 이 명령은 연방 기관들이 SW를 구매할 때  SW 제조사가 SBOM을 제출하도록 요구하는 것이 주요 골자입니다.
  

• ●국립표준기술연구소(NIST) 가이드라인 : NIST는 사이버 보안 공급망 위험 관리(C-SCRM) 가이드라인에 SBOM 표준을 포함시켜 연방 기관들이 이를 따르도록 하고 있습니다. 이 가이드라인은 기업이나 기관들이 SBOM이 포함된 SW의 취약점을 빠르게 식별하고 대응할 수 있도록 지원합니다 
  

• ●사이버 보안 및 인프라 보안국(CISA) SBOM 권고 : CISA는 SBOM의 사용을 장려하고, SW 제조사와 SW 도입 기관 및 기업들이 SW의 구성 요소를 투명하게 관리하도록 돕고 있습니다. CISA는 SBOM을 통해 잠재적인 보안 취약점을 빠르게 식별하고 해결할 수 있을 것으로 기대하고 있습니다.

<이미지 출처 : Manifestcyber.com, SBOMs Take Center Stage in the EU’s Cyber Resilience Act>

유럽연합(EU)도 SW 공급망 보안을 강화하기 위해 SBOM을 강조하고 있는데요. 주요 조치들은 다음과 같습니다.

• ●NIS2 지침 : NIS2(Network and Information Systems Directive) 지침은 주요 인프라와 서비스 제공업체들이 보안 조치를 강화하고, SW 구성 요소의 투명성을 높이기 위해 SBOM을 포함하도록 요구하고 있습니다.
  

• ●유럽 네트워크 및 정보 보안국(ENISA)의 가이드라인 : ENISA는 SBOM을 사용하여 SW 공급망의 보안을 강화하고, 투명성을 높이기 위한 가이드라인을 제공합니다. 이 가이드라인을 기반으로 유럽 내 다양한 기관들이 SBOM을 활용해 보안을 강화하고 있습니다.

<이미지 출처 : 대한민국 정책 브리핑, 정부, ‘소프트웨어 공급망 보안 강화’ 가이드라인 1.0 발표>

더불어 우리나라도 정부 차원에서 SBOM 활용을 권고하고 있는데요. 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회는 민관 협력을 통해 ‘소프트웨어 공급망 보안 가이드라인 1.0을 발표했는데, 이 가이드라인은 기업들이 SBOM 기반의 보안 관리체계를 도입하도록 지원하며, SBOM 유효성 검증 및 SW 구성 요소 관리 요령 등을 포함하고 있습니다 

SW 공급망 공격은 단일 기업이나 기관에 국한되지 않고, 그 SW를 사용하는 모든 곳에 영향을 미칩니다. 즉, 단순한 데이터 유출을 넘어 국가 안보, 경제적 피해, 사회적 혼란까지 초래할 수 있다는 것입니다. 그래서 이렇게 세계 여러 나라의 정부들이 나서서 별도의 조치를 마련하고 있고, 그 중심에 있는 것이 SBOM이다 라고 할 수 있겠습니다.

SW 공급망 공격에 대응하기 위한 조치로 떠오르고 있는 SBOM 외에도, 미국의 캘리포니아 소비자 개인정보 보호법(CCPA), 유럽의 GDPR, 우리나라의 개인정보보호법과 같이SW 기업들이 지켜야 할 보안 요건들은 매우 많습니다. 따라서 기업들은 자신들이 도입하려는 SW의 제조사들이 SW 공급망 공격을 당하지 않도록 어떻게 자사 SW의 보안을 강화해 나가고 있으며, SW 사용자들의 데이터를 보호하기 위해 어떤 조치를 취하고 있는지를 점검해야 합니다. 그 점검 항목들이 무엇인지 알아보겠습니다.

​

3. SW를 선택할 때 무엇을 점검해 봐야 할까?

기업에서 사용하는 SW는 IT 인프라 운영 SW부터 실제 서비스하는 애플리케이션 SW, 임직원들이 사용하는 업무용 SW까지 종류가 매우 다양합니다. 어떤 종류의 SW든 신규 도입 시 위에서 언급한 SW 공급망 공격을 예방하기 위해서는 SBOM에서 요구하는 요건들을 제대로 충족하고 있는지, CCPA나 GDPR과 같은 글로벌 개인정보보호법을 준수하고 있는지를 점검해 봐야 할텐데요. 이 외에 어떤 것들이 있을까요? 간단히 짚어보겠습니다.

• ■암호화와 접근제어

SW 제조사가 자사 제품의 보안을 강화하기 위해 기본적으로 수행하는 것은 암호화입니다. 자사 제품에서 생성된 데이터를 저장하거나 외부로 전송할 때 암호화함으로써 외부의 공격으로부터 데이터를 안전하게 보호할 수 있는 기본적인 조치라고 할 수 있죠. 따라서 사용하려는 SW가 자체적인 암호화 조치를 하고 있는지 점검해봐야 합니다. 

추가로, 접근제어를 어떻게 하고 있는지도 중요한 보안 강화 조치 중 하나입니다. SW 관리자와 사용자를 어떻게 구분하고, 사용자에 따라 부여한 권한을 어떻게 관리하고 있는지, 데이터 중요도에 따라 접근 권한을 차등 부여할 수 있는 기능이 있는지도 따져볼 필요가 있습니다. 이러한 기능을 자체적으로 제공하고 있다면, 별도의 접근제어 솔루션을 도입하지 않아도 될테니까요.

• ■보안 업데이트와 신속한 위협 대응

앞서 SW 공급망 공격의 주요 루트로 업데이트 단계가 사용될 수 있다고 언급했는데요. 그럼에도 불구하고 업데이트는 SW를 사용하는 사용자 의 기기를 보호할 수 있는 가장 기본적이고 중요한 수단입니다. 따라서, SW 제조사가 최신 보안 위협에 대응할 수 있도록 자사 제품의 정기적인 보안 업데이트를 얼마나 자주 시행하는지, 보안 취약점이 발견될 경우 얼마나 빨리 해결해서 다시 새로운 업데이트를 배포하고 있는지에 대한 사례를 확인해 봐야 합니다. 그래야 그 회사의 보안 수준을 가늠해볼 수 있을테니까요.

• ■데이터 보호 준수 프로그램 운영 여부

<이미지 출처 : Hexagon의 사내 데이터 보호 규정 준수 프로그램 및 규정 준수 인증서>

앞서 언급한 개인정보 보호정책 뿐만 아니라 SW 제조사 자체의 정기적인 보안 감사 프로그램을 운영하고 있는지도 중요한 점검 요소입니다. 이러한 프로그램을 내부적으로 운영하고 있고, 사내 임직원들에게 정기적인 보안 교육과 더불어, 실제 제대로 보안 지식을 습득하고 업무에 적용하고 있는지를 테스트해서 인증서를 부여하는 등의 노력을 하고 있다면, 그 회사의 SW는 안전한 환경에서 개발되고 있다고 생각해도 되지 않을까요?

​

4. 결론 : 업무용 SW 선택, 이제는 보안 수준도 반드시 챙겨야

지금까지 SW 공급망이 무엇이며 최근 보안 업계의 이슈로 급부상 하고 있는 SW 공급망 공격 사례, 그리고 이를 방지하기 위해 정부 차원에서 어떤 노력을 하고 있는지, 기업 입장에서 SW 공급망 공격을 예방하기 위해 어떤 SW를 선택해야 하는지에 대해 알아봤습니다. 앞서 잠깐 언급했지만, SW 공급망 공격은 단순히 특정 기업 하나를 타겟으로 한 공격이 아닙니다. 그 기업이 제공하는 SW의 사용자가 모두 해커의 공격 대상이 되기 때문에 SW 공급망 공격의 피해가 특히나 더 큰 것인데요. 그래서 이제는, SW를 선택할 때 그 SW의 보안 수준을 면밀히 따져봐야 합니다.

<이미지 출처 : IT Security Guru, Over a Decade in Software Security: What Have We learned?>

물론 현재 많은 기업들은 IT 인프라 보안 뿐만 아니라 사용자 PC 등 엔드포인트 보안을 위해 다양한 보안 솔루션을 사용하고 있습니다. 그런데 이러한 보안 솔루션을 사용한다는 것은, 우리가 사용하는 SW의, 시스템의 취약점을 파고들어 공격을 자행하는 해커들의 위협을 방어하기 위한 조치라고 할 수 있죠. 애초에 우리가 사용하는 SW가 보안적으로 우수하고 안전해서 해커의 공격을 당하지 않는다면, 많은 기업들이 이러한 주요 포인트 별 보안 솔루션을 갖추지 않아도 됩니다. 하지만 안타깝게도 해커들의 공격 기술이 한계를 모르고 진화하고 있기 때문에, 기업들은 다양한 보안 솔루션을 갖출 수밖에 없는 노릇입니다.

그래서 필요한 것이 보안적으로 안전한, 높은 수준의 보안을 갖춘 SW를 사용하는 것입니다. 해커들이 SW의 취약점을 발견하고 공격할 경우 가장 먼저 대응할 수 있는 것도 SW를 만든 제조사들입니다. 그들이 SW에 대해서 가장 잘 알고 있을테니까요. 그래서, 이러한 SW 제조사들이 우선적으로 자사의 SW에 대한 보안 수준을 강화하기 위해 어떤 조치를 취하고 있는지, 그 조치들이 글로벌 규제 준수를 충족하고 있는지, SW를 사용할 기업들의 보안에 대한 부담을 덜어줄 수 있는지가 매우 중요해 졌다고 볼 수 있습니다.

<이미지 출처 : Securitymagazine.com, Poor software costs the US 2.4 trillion>

일반적으로 많은 기업들이 특정 SW를 도입할 때 가장 우선적으로 고려하는 것은 가격일 것입니다. 특히나 규모가 작은 기업이라면 가격이 최우선 고려사항이겠죠. 하지만, 가격이 저렴한 SW는 보안 수준이 다소 떨어질 가능성이 있습니다. 그들도 자신들의 약점을 가격적인 메리트로 희석시키려 들테니까요. 기업이 만약 이러한 SW를 구매하고 사용하다가 보안 사고가 생긴다면? 이후에 자사의 보안 환경 개선을 위해 그 SW 구매 비용보다 훨씬 더 많은 비용을 지불해야 할 수도 있습니다.

따라서 이제는, SW를 선택할 때에도 가격, 기능 완성도, 사용성 등의 요소 뿐만 아니라 보안도 우선 순위에 놓아야 합니다. 아무리 가격이 저렴하고 기능의 완성도가 뛰어나고 사용성이 좋아도, 보안 사고가 발생하면 앞서 언급한 강점들은 모두 무용지물이 되어버릴 테니까요. 일단 안전한 보안이 전제된 상태에서 기능의 완성도, 사용성, 그리고 가격을 고려해야 하지 않을까요? 즉, SW를 사용하려는 기업에서 요구하는 보안 수준이야 말로, 그 SW를 선택하기 위해 SW 제조사가 넘어야 할 첫 번째 허들이 되어야 합니다. 고객의 보안 요건을 맞추지 못한다면 기능이고 사용성이고 가격이고 모두 고려할 필요가 없다는 것입니다.

기업에서 새롭게 도입하려는 SW가 전 세계적으로 매우 유명한 기업의 범용적인 SW라면 보안 수준은 크게 걱정하지 않아도 될겁니다. 하지만 사내의 특정 부서에서, 특수 목적으로 일부 직원들만 사용하는 SW라면 달리 생각해 봐야 합니다.그 SW를 제조하는 제조사의 보안 역량을 반드시 꼼꼼하게 점검해야, 그 SW의 자체 결함으로부터 발생하는 SW 공급망 공격을 예방할 수 있을 테니까요. 그래서 도입하려는 SW가 SBOM을 제대로 관리하고 있는지 점검해야 합니다.

<이미지 출처 : Brisys 24/7, 클라우드 기반 BricsCAD 협업 플랫폼>

예를 들어, 캐드와 같은 특수 목적용 SW는 제조나 토목, 건축 업종에서 많이 사용합니다. 이러한 업종에서 사용하는 캐드 SW는 종류가 무척 다양하죠. 범용 캐드의 경우 업계 표준으로 자리잡은 Autodesk의 AutoCAD를 비롯해 다양한 대안캐드가 존재합니다. AutoCAD의 경우 보안 수준을 걱정할 필요는 없을겁니다. 하지만 대안캐드라면? 앞서 언급한 각국의 다양한 개인정보 보호규정 준수 여부, 자체적인 제품의 보안 강화를 위해 어떤 조치를 취하고 있는지, SW 제조사 직원들의 보안 수준 강화를 위해 운영하는 별도의 데이터 보호 준수 프로그램이 있는지, 그리고 SW 공급망 공격에 대한 예방 조치 중 필수 요소로 자리잡고 있는 SBOM을 제대로 관리하고 있는지 점검해 볼 필요가 있다는 것입니다.

국내에서 판매되고 있는 다양한 대안캐드 중 Brisys의 BricsCAD는 유럽의 글로벌 IT 기업인 Hexagon을 모회사로 두고 있어 GDPR 뿐만 아니라 글로벌 개인정보 보호규정을 준수하고 있습니다. 게다가 자체적인 데이터 암호화 기능 및 Brisys 24/7 클라우드 기반 협업 플랫폼을 통한 역할 기반 보안, 임직원 대상 컴플라이언스 교육 및 인증, 그리고 Log4j 보안 취약점에 대한 선제적 대응 사례 등 자사 제품인 BricsCAD의 보안 수준 강화를 위해 다양한 조치를 취하고 있습니다. 또한 주요 선진국들이 사이보 보안 공통 기준으로 설정하고 있는 SBOM의 50가지 필수 보안 요건도 물론 충족하고 있고요.

<이미지 출처 : 보안뉴스, [이슈칼럼] 대국민 서비스의 ‘SBOM’ 기반 패치 위협 관리가 절실한 이유>

따라서, 만약 제조, 토목, 건축 등의 업종에 속한 기업에서 AutoCAD가 아닌 대안캐드를 고려하신다면, 검토하는 대안캐드가 SW 공급망 공격을 예방하기 위해 어떤 보안 조치를 취하고 있는지, SBOM 요건은 충족하고 있는지 반드시 점검해 보시기 바랍니다. 가격만 보고 접근하다가 기업의 소중한 데이터에 피해가 생기면 큰일이니까요. 

기업의 가장 소중한 자산은 데이터입니다. 특히나 제품이나 건축물에 대한 도면을 생산하는 캐드 SW를 사용하는 기업이라면, 글로벌 레벨에서 보안이 검증된, 안전한 SW를 사용하실 것을 권합니다. 이제 가격보다 보안이 더 중요한 시대가 되었고, 앞으로 보안에 대한 중요성은 더욱 커질 것입니다. 물론 예시를 캐드 SW로 들었지만, 이는 기업이 새롭게 도입하려는 모든 SW에 해당됩니다. 앞으로 SW를 선택할 때, 그 SW의 보안 수준을 반드시 점검해야 한다는 것을 기억해 주시기 바랍니다.

이것으로 SW 공급망 공격이 무엇이고 기업들은 SW 공급망 공격을 예방하기 위해, 신규 SW 선택 시 무엇을 우선적으로 고려해야 하는지 알아봤습니다. 이 콘텐츠가 사내에서 다양한 시스템과 업무용 SW 도입을 추진하시는 IT 담당자 분들께 조금이나마 도움이 되었기를 바랍니다. 끝!