레드펜소프트가 한화생명에 클라우드 기반의 소프트웨어(SW) 공급망 보안 솔루션 ‘XSCAN(엑스스캔)’을 공급한다고 11일 밝혔다.
XSCAN은 한화생명이 외주 개발사나 소프트웨어 벤더로부터 제공받은 업데이트∙패치 파일을 이전 버전과 비교해 이상행위가 일어날 가능성이 있는 코드나 비정상적으로 많은 변경이 있을 때 그 내용을 소명하게 하는 서비스를 제공한다. 필요한 경우 화이트 해커가 상세분석 레포트를 제공해준다. 또한, ChatGPT를 적용해 한층 더 쉽게 이상 징후 및 대처방법을 파악할 수 있게 한다.
소프트웨어 공급망을 이용한 공격이 금융권에도 지속해서 발생하고 있어 이용자 피해예방 등을 위해 선제적 대응이 필요하다.
소프트웨어 공급망 보안은 2021년 5월 미국 바이든 정부가 ‘국가 사이버보안 개선에 관한 행정명령(EO-14028)’을 발표하면서 그 중요성이 강조됐다. 2023년에는 과학기술정보통신부가 주관하여 한국인터넷진흥원(KISA)과 함께 ‘SW공급망 보안체계 구축 위한 실증사업’을 추진했다
레드펜소프트 측은 기존 취약점 점검 방식은 오픈소스로 제공되거나 공표된 취약점만 관리할 수 있고 이미 만들어진 상용 소프트웨어 점검은 어려운 상황이라면서, 이를 보완하면서 전자금융감독규정 제29조(프로그램 통제) 가이드라인을 충족시키는 게 XSCAN 도입의 배경이라고 설명했다.
조상현 한화생명 CISO는 “소프트웨어 공급망 보안으로 공급사 소프트웨어에 사용된 log4와 같은 제로데이 취약점을 SBOM(소프트웨어 자재 명세서)를 통해 사전에 식별하여 소프트웨어가 한화생명에 사용되기 전 취약점을 완전히 제거하여 한화생명 대고객 서비스의 정보보호 신뢰도를 제고 할 수 있기를 기대하고 있다”고 말했다.
전익찬 레드펜소프트 부대표는 “XSCAN 서비스를 통해 내부 엔드포인트 장악이나 고객 서비스 사용자에 대한 연쇄 감염 등 공급망 공격으로 발생할 수 있는 막중한 피해를 사전에 차단할 수 있을 것”이며, “소프트웨어 패치 반입과 검증에 대한 사이버 보안 관점의 프로세스 개선 및 워크 플로우 구현을 통해 능동적이고 선제적인 사이버 대응 체계 구축이 가능하다”고 말했다.