bluemsi/2nd
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
fdfbc83535ef2a67ef93808abd73d268e806d4ea
2nd/10_Wiki/Topics_Dev/Supply_Chain_Security.md
T

48 lines
3.8 KiB
Markdown
Raw Blame History

---
id: P-REINFORCE-WIKI-DEV-SUPPLY-CHAIN-SECURITY
title: "소프트웨어 공급망 보안과 신뢰 체계 (Supply Chain Security)"
category: Dev
status: verified
canonical_id: ""
aliases: ["공급망 보안", "Software Supply Chain Security", "SBOM", "의존성 보안", "신뢰 체인"]
duplicate_of: ""
source_trust_level: A
confidence_score: 1.0
tags: ["Security", "Supply_Chain", "DevSecOps", "Compliance", "Architecture"]
raw_sources: ["Datacollector_Export_2026-05-02"]
last_reinforced: 2026-05-02
github_commit: ""
---
# [[소프트웨어 공급망 보안과 신뢰 체계 (Supply Chain Security)]]
## 1. 개요
소프트웨어 공급망 보안(Software Supply Chain Security)은 소프트웨어가 설계, 개발, 빌드, 배포되어 사용자에게 전달되기까지의 전 과정(Supply Chain)에서 발생할 수 있는 보안 위협을 관리하고 방어하는 체계다. 현대 소프트웨어 개발이 수많은 오픈소스와 외부 서비스에 의존함에 따라, 신뢰할 수 없는 구성 요소가 침투하여 전체 시스템을 오염시키는 것을 막는 것이 핵심이다.
## 2. 주요 공격 표면 및 방어 지점
- **의존성 공격 (Dependency Attacks)**: 타이포스쿼팅(유사한 이름의 가짜 패키지)이나 악성 패키지 삽입. SCA 도구와 SBOM을 통해 방어.
- **빌드 시스템 침투**: CI/CD 파이프라인 탈취를 통한 악성 코드 주입. 파이프라인 보안 강화 및 서명된 빌드 아티팩트 사용.
- **소스 코드 유출 및 오염**: 권한 없는 접근을 통한 코드 수정. 엄격한 코드 리뷰(Two-person rule)와 시크릿 탐지 도입.
- **서드파티 도구 위협**: 개발 도구나 플러그인을 통한 정보 유출. 신뢰할 수 있는 도구 목록(Allowlist) 관리 및 권한 최소화.
## 3. 핵심 방어 방법론
- **SBOM (Software Bill of Materials)**: 소프트웨어 구성 요소의 투명한 명세서를 작성하여, 취약점 발생 시 즉각적인 영향도 파악 및 대응 가능하게 함.
- **증명 및 서명 (Attestation & Signing)**: 코드가 빌드될 때 디지털 서명을 부여하여, 배포되는 바이너리가 변조되지 않은 원본임을 보장.
- **도달 가능성 기반 분석**: 수많은 의존성 취약점 중 실제 실행 코드에서 접근 가능한 경로만 선별하여 대응 우선순위 최적화.
- **ASPM (Application Security Posture Management)**: 보안 도구들이 생성하는 데이터를 통합하여 전체 공급망의 보안 태세를 한눈에 파악.
## 4. 트레이드오프 및 주의사항
- **가시성 vs 운영 복잡성**: 공급망 전체를 추적하려면 막대한 양의 SBOM 데이터와 스캔 결과가 생성됨. 이를 관리하기 위한 자동화 인프라 없이는 운영 불가능.
- **신속한 업데이트의 딜레마**: 보안 패치를 위해 의존성을 즉시 업데이트하면 예기치 못한 호환성 문제가 발생할 수 있고, 지연시키면 공격에 노출됨. 안정적인 카나리 배포 전략 수립 필요.
- **신뢰의 연쇄 (Chain of Trust)**: 내가 사용하는 라이브러리가 안전하더라도, 그 라이브러리가 사용하는 '간접 의존성'이 위험할 수 있음. 깊은 수준의 의존성 트리 분석 필수.
## 5. 지식 연결 (Related)
- [[Software_Composition_Analysis]]: 공급망 보안의 핵심 실행 기술.
- [[DevSecOps_Framework]]: 공급망 보안이 내재화된 개발 운영 모델.
- [[Security_Posture_Management]]: 보안 위협을 통합 관리하는 관제 체계.
## 🧪 검증 상태 (Validation)
- **정보 상태**: 검증 완료 (Verified)
- **출처 신뢰도**: A
- **검토 이유**: 외부 생태계와의 연결이 필수적인 현대 소프트웨어 환경에서 전체 공급망의 투명성과 신뢰를 확보하기 위한 보안 전략 표준 정립.
Reference in New Issue View Git Blame Copy Permalink