美 국방부, '보안 최우선' SW 조달 체계 전면 개편…국내도 검토 시급
미국 국방부(DoD)가 사이버 공격과 소프트웨어(SW) 공급망 위협의 증가에 대응해 소프트웨어 조달 시스템을 전면 개편한다.
이번 개편은 보안을 최우선 원칙으로 내세우는 것이 특징이며, 국내 주요 조직들도 이와 같은 방향성을 검토해야 한다는 필요성이 제기되고 있다.
지난 10일 DoD 케이티 아링턴 최고정보책임자(CIO)은 국방부 전역에 발송된 공식 메모를 통해 새로운 조달 정책 이니셔티브인 'SW패스트트랙(SWFT)'을 수립할 것이라고 밝혔다.
SWFT 이니셔티브는 국방부가 운용하는 모든 소프트웨어에 대해 획득부터 테스트, 승인까지의 전 과정을 전면 재설계하고 그 과정 전반에 '보안을 기본값으로 내재화'하는 것을 목표로 한다.
아링턴 CIO는 해당 메모에서 "국방부의 사이버보안 및 공급망 위험관리(SCRM) 관행은 소프트웨어 개발과 공급망 리스크가 점점 더 정교해지고 복잡해지는 현실에 맞춰 지속적으로 적응하고 진화해야 한다"고 강조했다.
이번 SWFT 계획은 기존 소프트웨어 조달 방식이 보안 위험의 사각지대를 만들어왔다는 문제의식에서 출발한다. 메모에 따르면, DoD는 SW 코드 구성요소의 출처, 포함된 오픈소스 및 외부 라이브러리 목록, 패치 이력 및 취약점 관리 상태 등을 투명하게 식별할 수 있는 체계를 갖출 계획이다.
이와 관련해 DoD는 오픈소스SW(OSS)의 사용 자체를 제한하거나 배제하지는 않지만 OSS를 포함한 모든 구성요소의 출처, 유지 주체, 보안 대응 체계 등을 명확히 문서화할 것을 요구하고 있다.
기사 원문 : 美 국방부, '보안 최우선' SW 조달 체계 전면 개편…국내도 검토 시급 - ZDNet korea
美 국방부, '보안 최우선' SW 조달 체계 전면 개편…국내도 검토 시급
미국 국방부(DoD)가 사이버 공격과 소프트웨어(SW) 공급망 위협의 증가에 대응해 소프트웨어 조달 시스템을 전면 개편한다.
이번 개편은 보안을 최우선 원칙으로 내세우는 것이 특징이며, 국내 주요 조직들도 이와 같은 방향성을 검토해야 한다는 필요성이 제기되고 있다.
지난 10일 DoD 케이티 아링턴 최고정보책임자(CIO)은 국방부 전역에 발송된 공식 메모를 통해 새로운 조달 정책 이니셔티브인 'SW패스트트랙(SWFT)'을 수립할 것이라고 밝혔다.
SWFT 이니셔티브는 국방부가 운용하는 모든 소프트웨어에 대해 획득부터 테스트, 승인까지의 전 과정을 전면 재설계하고 그 과정 전반에 '보안을 기본값으로 내재화'하는 것을 목표로 한다.
아링턴 CIO는 해당 메모에서 "국방부의 사이버보안 및 공급망 위험관리(SCRM) 관행은 소프트웨어 개발과 공급망 리스크가 점점 더 정교해지고 복잡해지는 현실에 맞춰 지속적으로 적응하고 진화해야 한다"고 강조했다.
이번 SWFT 계획은 기존 소프트웨어 조달 방식이 보안 위험의 사각지대를 만들어왔다는 문제의식에서 출발한다. 메모에 따르면, DoD는 SW 코드 구성요소의 출처, 포함된 오픈소스 및 외부 라이브러리 목록, 패치 이력 및 취약점 관리 상태 등을 투명하게 식별할 수 있는 체계를 갖출 계획이다.
이와 관련해 DoD는 오픈소스SW(OSS)의 사용 자체를 제한하거나 배제하지는 않지만 OSS를 포함한 모든 구성요소의 출처, 유지 주체, 보안 대응 체계 등을 명확히 문서화할 것을 요구하고 있다.
기사 원문 : 美 국방부, '보안 최우선' SW 조달 체계 전면 개편…국내도 검토 시급 - ZDNet korea