[정보통신신문=박광하기자]
순수 클라우드 네이티브 보안업체 아쿠아 시큐리티(Aqua Security)가 엔터프라이즈급 벤더로는 유일하게 미국 행정명령(EO) 14028을 준수한다는 소프트웨어(SW) 공급망 보안 증명을 제공한다고 최근 밝혔다.
미 정부의 '국가 사이버 보안 개선'을 위한 행정명령은 제로트러스트(Zero Trust) 아키텍처를 연방정부에서
구현하도록 요구하고, 미 연방기관에 SW 내장 제품을 납품할 경우 SW의 구성요소를 식별하기 위한 명세서인 SBOM(Software Bill of Materials) 제출을 의무화해야 한다.
이번 미 정부의 행정명령은 써드파티 SW 기업이 미국의 사이버보안을 강화하고, 미국을 악의적 사이버 행위자로부터 보호하기 위해 충족하거나 초과 달성해야 하는 모든 SW 공급망 요건을 열거하고 있다.
국내 역시 올해 초 '정보보안 리더의 밤' 행사에서 이동범 한국정보보호산업협회(KISIA) 회장은 "바이든 행정부가 발동한 '사이버보안을 위한 행정명령(EO 14028)'을 주목하고 따라야 한다"고 강조한 바 있다.
지난 10월 26일에는 과학기술정보통신부와 한국인터넷진흥원(KISA, 원장 이원태)이 보코서울강남 호텔에서 '제로트러스트·공급망 보안 포럼 발족식'을 개최하는 등 미 정부의 행정명령에 대처하기 시작했다.
드로 다비도프(Dror Davidoff) 아쿠아 시큐리티 CEO 겸 공동 창업자는 "이번 행정 명령은 글로벌 SW 공급업체에 막대한 영향을 미친다. 미 정부에 판매하거나 정부와 거래하는 기업에 SW를 판매한다면 명령 준수를 입증해야 한다"며 "SW 공급망 공격이 고도화되고 규모가 커짐에 따라 민간 부문은 반드시 선제적 사이버보안 조처를 취해야 한다. EO 14028은 미국 정부가 사이버 사고를 예방하려는 중요하고 대담한 조처"라고 밝혔다.
아쿠아의 소프트웨어 공급망 보안(Software Supply Chain Security)은 전체 소프트웨어 개발 라이프사이클에 걸쳐 보호를 약속하는 유일한 포괄적 솔루션이며, 소프트웨어 제공업체가 EO 요건을 준수하고 증명하도록 지원한다. 본 솔루션은 구축 한 달 내에 기업이 준수 요건을 완수하도록 지원하며 초기 및 지속적 준수 증명을 위한 리포팅 및 관리 역량을 포함한다. 구체적으로 다음을 통해 EO 14028 준수를 보장한다.
