산업 전반에 걸친 보안 신뢰성을 확보하려면 소프트웨어 뿐만 아니라 하드웨어 공급망 보안 관리도 중요하다. 하지만 아직까지 하드웨어 공급망 보안에 대한 인식과 실질적인 취약점 분석 기술력이 부족한 상황이다.

하드웨어 공급망 보안은 디지털 트랜스포메이션과 글로벌화된 제조 환경에서 필수적으로 다뤄야 할 과제다. 소프트웨어와 하드웨어의 통합 보안 접근법을 채택하고, 공급망 가시성 확보, AI 기반 보안 분석, 국제 보안 규제 준수를 통한 신뢰성 향상이 주요 전략으로 떠오르고 있다.

공급망 보안 전문기업 쿤텍(대표 방혁준)이 과학기술정보통신부에서 지원하고 정보통신기획평가원(IITP)이 주관하는 정보보호 핵심원천 기술개발사업 ‘시스템 디바이스의 하드웨어 공급망 위협 대응 핵심기술 개발’ 수행 결과, 하드웨어 및 소프트웨어 전체 공급망 보안 관리가 가능한 토탈 솔루션 ‘이지스(AEGIS)’ 기능 고도화에 성공했다고 11일 밝혔다.

이지스는 소프트웨어 및 하드웨어 보안 관련 구성 요소 기록한 문서인 CBOM(Cybersecurity Bill of Materials) 보안 관리 솔루션이다. 이번 고도화로 미국 국립표준기술연구소(NIST)에서 관리하는 공개 보안 취약점 데이터베이스(DB)인 NVD 취약점 DB를 자체 DB에 초기 마이그레이션했다.

주기적인 NVD DB의 동기화로, 취약점을 신속하고 효율적으로 탐지하고 관리하는 원데이 취약점 자동 식별 및 조치 가이드 기술을 구현했다. 식별된 취약점 등급을 긴급·높음·중간·낮음으로 구분해 분석 결과를 대시보드로 제공하며 쉽고 빠른 분석을 지원한다.

이지스에 5G 코어(5G Core) 보안 취약점 점검 기능을 추가했다. 이는 상용 제품의 5G 코어 NFV(네트워크 기능 가상화) 바이너리 16종에 대한 보안 취약점을 점검하고, 점검 결과 발견된 다수의 취약점에 대해 조치 가이드를 제공해 하드웨어 공급망 관리 적용 범위도 확대했다.

ETRI 이상수 책임연구원은  “쿤텍과 ETRI는 이지스의 취약점 점검 기능을 향상시키고 IC칩, PCB 보드, 펌웨어와 같은 하드웨어에 대한 취약점 분석 기술 및 5G Core 보안 취약점 점검 기능을 추가했다.”라며 “HW·SW 전체 공급망에 대한 위협대응 체계 구축을 지원할 수 있을 것”이라고 말했다.