공급망 보안 (Supply Chain Security)

공급망 보안 (Supply Chain Security)

소프트웨어/하드웨어 개발 및 배포 과정 전반에 걸쳐 제3자 구성요소, 의존성, 공급업체의 보안을 관리하여 공급망을 통한 공격을 방지하는 보안

특징: 제3자 위험, 다층 의존성, 신뢰 체인

구성요소: 오픈소스 의존성, 빌드 파이프라인, 배포 채널, 벤더/공급업체

기술요소: SBOM(Software Bill of Materials/구성요소 목록), SCA(의존성 취약점 검사/Snyk/Dependabot), SLSA(공급망 무결성 프레임워크), 서명 검증(코드 서명/이미지 서명), SBOM 생성(Syft/CycloneDX)

위협: 악성 패키지(npm/PyPI), 의존성 혼동(Dependency Confusion), 타이포스쿼팅, 빌드 환경 침해, 업데이트 서버 해킹

사례: SolarWinds(빌드 파이프라인 해킹), Log4Shell(의존성 취약점), Codecov(스크립트 변조)

대응: SBOM 생성/관리, SCA(자동 취약점 스캔), 코드 서명 검증, Private Registry(내부 저장소), 최소 권한(빌드 환경), Zero Trust(공급업체)

SLSA 레벨: L1(문서화) → L2(서명) → L3(감사) → L4(완전한 검증)

적용사례: 오픈소스 관리, 벤더 보안 평가, CI/CD 파이프라인 보호

비교: 1st Party(내부 개발) vs 3rd Party(외부 의존성/벤더)

연관: DevSecOps, SBOM, SCA, 오픈소스 보안