알림
뒤로

세계 최초 오픈소스 검증 솔루션  

소프트웨어 구성요소 분석 솔루션 (SCA)

보안 취약점 및 라이선스 점검 1위 솔루션

Black Duck

오픈소스 관리(라이선스, 보안취약점 점검)

SBOM

코드베이스/바이너리 분석

컨테이너 이미지 분석

 알려진 보안 취약점(CVE) 탐지 및 오픈소스 라이선스 점검

 Black Duck®에서 추가 보안취약점 DB(BDSA) 제공

오픈소스 컴포넌트 자동식별 및 오픈소스 의존성 분석
 코드베이스 뿐만 아니라 바이너리 및 컨테이너 이미지 분석 지원

 오픈소스의 일부분을 차용하는 'code snippet' 탐지 가능

 SBOM(소프트웨어 명세서) 기능 지원(SPDX, Cyclone DX) 

Black Duck® SCA는 소프트웨어 개발 시 사용된 오픈소스를 식별하고, 식별된 오픈소스의 보안 취약점과 라이선스를 점검 및 관리하는 도구로서, 오픈소스 사용 시 발생할 수 있는 보안 취약점 및 라이선스 위반 리스크를 최소화하는 오픈소스 점검 솔루션입니다. 


상용 애플리케이션과 벤더 공급 바이너리, 기타 서드파티 소프트웨어의 구성에 대한 SBOM의 가시성을 높일 수 있으며 조달, 운영 및 개발팀의 보안 품질 역량을 강화할 수 있습니다. 또한, 소프트웨어 공급망과 애플리케이션 수명 주기 전반에 걸쳐 오픈소스를 관리할 수 있도록 지원합니다.

Black Duck® SCA 주요 기능

탐색 (Detect)
  • 식별 : 의존성, 코드베이스, snippet, 바이너리 및 컨테이너에서 오픈소스 식별
  • 탐지 : 일부 수정되거나 정확히 매치된
    오픈소스 컴포넌트를 탐지
  • 자동화 : DevOps에 연동하여 스캔, 분석 자동화
보호 (Protect)
  • 비교 : 발견된 오픈소스 컴포넌트를 방대한
    KnowledgeBase DB에 비교
  • 분석 : 오픈소스 컴포넌트의 라이선스 및 알려진 보안취약점 제공
  • 모니터링 : 새로 발견된 보안취약점이나 개발 및 생산 과정에서 발견된 보안취약점을 모니터링
관리 (Manage)
  • 정책 설정 및 시행 : Policy 기능을 이용하여 정책을 설정하고 시행하여 위반시 대처방안 확인
  • 자동화 : DevOps 통합하여 지속적으로 프로젝트를 추적 관리 자동화
  • 오픈소스 사용 관리 : 오픈소스 컴포넌트를 사용하는 프로젝트 관리가 가능하여 급작스러운 보안취약점 이슈 발생시 대응 지원

Black Duck®에서 제공되는

Knowledge Base

오픈소스 업계에서 가장 포괄적인 오픈소스 프로젝트, 라이선스 및 보안취약점 정보 데이터베이스로서 Black Duck®의 사이버 보안 연구센터(CyRC)에서 관리하고 있습니다.


2,750+

오픈소스 라이선스



247,000+

보안취약점



8,700,000+

오픈소스 프로젝트


mobile background

의료 | Healthcare

환자의 생명과 직결된 의료 시스템, 

보안은 선택이 아닌 필수입니다.

병원정보시스템(HIS), 원격 진료, 스마트 의료기기 등 디지털 헬스케어의 확산으로 의료 분야는 점점 더 SW 의존도가 높은 고위험 산업으로 전환되고 있습니다. 


의료기기 및 소프트웨어는 환자 안전과 직접 연결되므로 높은 신뢰성과 보안이 요구되고 있습니다. 특히, 원격 의료, IoMT 환경에서는 네트워크 보안과 데이터 보호가 필수적입니다.

고객의 사이버 보안 요구사항을 충족하고 규제 요건을 준수하는 것은 매우 어려운 과제처럼 보일 수 있습니다. 

이러한 요구를 충족하려면 지속적으로 변화하는 규정 준수 요건을 따라가고, 다양한 변수를 테스트하며, 소프트웨어가 결함 없이 출시되는지 확인해야 합니다.

주요 보안 위협


· 의료기기 해킹 및 조작 가능성

·  EMR 데이터 유출 및 개인정보 침해

·  랜섬웨어에 의한 진료 중단

·  규제 불이행 시 벌금 및 인증 박탈 

보안의 중요성 


의료 분야 보안 사고는 치명적인 환자 피해와 법적 분쟁을 초래합니다. 미국 HIPAA, EU MDR 등 국제 규제 강화에 따라 기기 소프트웨어와 데이터 전송, 저장, 접근의 전 주기 보안이 반드시 갖춰져야 합니다. 

 

복잡한 의료기기 규제 환경을 효과적으로 해결하세요.

FDA, IEEE, NTIA, MDISS, MDIC, AAMI, NIST 등에서 제시한 지침과 표준을 준수하는 것은 쉽지 않은 과제입니다. Black Duck의 의료기기 보안 서비스 팀은 다음과 같은 규제 준수를 지워합니다. 


  • IEC 62304
  • UL 2900-2-1
  • AAMI TIR57
  • FDA 510(K)
  • FDA 사전 시장 사이버 보안 가이드라인

Black Duck은 보안 프로그램 전략 수립 및 계획, 리스크 평가, 아키텍쳐 검토, 기기 및 프로토콜별 보안 테스트까지 귀사의 사이버 보안 요구에 맞춘 최적의 도구와 서비스를 제공합니다. 

출시 전에 보안 문제를 해결하세요

의료기기는 Bluetooth, HL7, DICOM과 같은 다양한 프로토콜을 사용하며, 이러한 프로토콜에는 제로데이 취약점(Zero-Day Vulnerabilites)이 포함될 가능성이 있습니다. 


  • Defensics 퍼징 테스트(Fuzzing Test)를 활용하며, 개발 및 테스트 단계에서 보안 결함을 사전에 탐지할 수 있으며, 실제 환경에서 보안 침해나 기기 장애가 발생하는 것을 방지할 수 있습니다. 

표준 정책 및 가이드라인

 규정/표준
설명관련 소프트웨어
HIPAA
미국 의료정보 보호법
  • Black Duck
  • Thales
  • Action1
FDA Premarket 
Cybersecurity Guidance
의료기기 보안 요구사항
  • Black Duck
  • Coverity
  • Defensics
  • Tenable
IEC 62304
의료기기 SW 생명주기 프로세스
  • Coverity
ISO/IEC TS 17961
IEC62304와 연계하여 C 기반의 소프트웨어에 대한 보안 코딩 확보
  • Coverity
SBOM 요구사항
소프트웨어 구성 명세서(SBOM) 요구, 공급망 보안 대응
  • Black Duck
  • KossWise
UL 2900
네트워크 연결 제품 사이버 보안
  • Defensics
ISO/IEC/IEEE 29119
소프트웨어 및 시스템 테스팅
  • Coverity
  • Defensics
ISO 12207
소프트웨어 개발 수명 주기
  • Defensics
IEC TR 60601-4-5의료기기 네트워크 보안 기술 요구사항
  • Defensics
IMDRF N60의료기기 사이버보안 설계 · 운용 · 관리 지침
  • Coverity
  • Defensics
  • Tenable
IMDRF N73의료기기 소프트웨어 공급망 관리를 위한 SBOM 표준화 지침
  • Black Duck
  • KossWise
ISO/IEC81001-5-1의료기기 및 헬스 IT 소프트웨어의 사이버 보안 요구사항
  • Black Duck
  • Coverity
  • Defensics
의료기기의 사이버보안
허가 ·심사 가이드라인		국내 의료기기의 허가 · 심사를 위한 사이버보안 요구사항
  • Black Duck

추천 솔루션

Black Duck® SCA
오픈소스 검증

Black Duck® SCA 소프트웨어는 소프트웨어 개발 시 사용된 오픈소스를 식별하고, 식별된 오픈소스의 보안 취약점과 라이선스를 점검 및 관리하는 도구로서, 오픈소스 사용 시 발생할 수 있는 보안 취약점 및 라이선스 위반 리스크를 최소화하는 오픈소스 점검 솔루션입니다.

KossWise
오픈소스 / SBOM 관리 포털

KossWise는 Black Duck® SCA와 실시간 연동, 오픈소스 컴플라이언스를 위한 일관성있는 통합 관리 프로세스 제공으로 소프트웨어 공급망 전체에 대한 신뢰성을 제고하는 한편, 오픈소스 사용 계획 검토부터 프로젝트 최종 배포에 이르는 전 과정을 모니터링하고 통제할 수 있는 최적의 솔루션입니다.

Coverity
정적분석

Black Duck® Coverity®는 업계 최고의 기술력과 분석 성능으로 소프트웨어에 잠재된 오류, 버그, 보안취약점 등 각종 결함들을 소스코드 분석을 통하여 탐지하는 정적분석 테스팅 솔루션입니다.

Defensics
퍼징테스트

Black Duck® Defensics®는 테스트 대상(System Under Test)에 취약점 또는 비정상 데이터 값들을 입력한 후, 그 과정에서 발생하는 에러나 충돌을 모니터링하여 알려지지 않은 보안 취약점을 탐지하고 분석하는 퍼징 테스트 솔루션입니다.

Tenable
취약점 탐지 및 개선 솔루션

Tenable은 2022년 설립된 취약점 관리 전문 기업으로 전세계 점유율 1위를 차지하고 있는 마켓 리더입니다. Nessus 취약점 스캐너를 기반으로 위협 노출 관리를 통한 사이버 위험 감소를 위한 플랫폼을 개발합니다. 또한, 지속적이고 새로운 취약점을 가장 빠르게 찾아내서 대응하며, 고객사 환경의 다양한 노출 영역에 대해 맞춤 보안을 제공합니다.

Action1
엔드포인트 보안 솔루션

보안 침해 및 랜섬웨어 공격을 사전에 차단하여 기업의 IT 작업 환경을 안전하게 보호합니다. Action1은 복잡한 설정 없이도 자동으로 패치를 관리하고, 취약점을 실시간으로 대응하여, 원격 근무 환경에서도 엔드포인트 보안을 간편하고 강력하게 완성해주는 클라우드 보안 솔루션입니다. 

WindRiver

임베디드 시스템 및 엣지 보안 솔루션

Wind River는 eLxr 프로젝트의 창립 멤버로서 eLx 프로젝트의 파생 배포판 및 Kubernetes와 같은 클라우드 네이티브 기술에 대한 상용 지원, 서비스 및 컨설팅을 제공합니다. Wind River의 eLxr Pro는 10년 장기 기술 지원은 물론 보안, 결함 관리 및 유지 관리를 포함한 다양한 서비스 수준 계약(SLA) 지원 옵션을 제공합니다. 또한 eLxr Pro에는 클라우드-엣지 환경 전반에 배포된 미션 크리티컬 애플리케이션의 고유한 요구 사항을 충족하기 위한 다양한 전문 서비스 옵션 및 Linux 전문가에 대한 액세스가 포함되어 있습니다.

SolarWinds
네트워크 시스템 모니터링

SolarWinds는 네트워크, 시스템 모니터링 마켓에서 높은 시장점유율을 가지고 있으며, IT의 모든 영역을 관리하는 종합 IT 운영관리(ITOM) 지원 솔루션입니다. 

On-Premise, Cloud 등의 다양한 운영 환경에서 종합 IT 운영관리의 플랫폼을 지원합니다. 플랫폼은 단일화된 IT 통합 운영 환경을 제공하며 모든 IT 영역에 대한 상관관계 분석을 통합 효율적인 운영을 지원합니다.

mobile background

KMS Technology 

솔루션 문의하기 

KMS Technology는 

SW보안 및 품질 분야 전 세계1위 솔루션을 

국내에 공급하며 기술지원하고 있습니다. 


국내 대기업, 중소기업 및 공공기관 등 
다양하고 풍부한  레퍼런스를 보유한만큼 

기업별 여건에 맞는 구축 및 운영 방안을 제시해드립니다.