융합 보안 기업 쿤텍이 ETRI(한국전자통신연구원)와 함께 하드웨어 공급망 보안 강화를 위해 펌웨어 분석 기술을 기반으로 BoM(Bill of Materials, 자재명세서) 추출 및 분석, 취약점 자동 탐지 기술을 개발한다.
기술 구현을 위해 구성되는 하드웨어가 복잡해지고 각 하드웨어 개발에 관여하는 공급업체가 증가하면서 공급망 전반의 보안 검증이 중요해졌다.
특히 TCP/IP 소프트웨어 라이브러리에 내재되어 있는 것으로 알려진 취약점인 리플20(Ripple20)과 같은 알려진 취약점(1-Day)의 경우 복잡한 공급망을 통해 다양한 산업 분야에서 광범위하게 악용될 수 있다. 하지만 이러한 취약점의 영향을 받는 자산을 식별하는 것은 쉽지 않다.
취약점에 대한 정보를 빠르게 분석하고 소프트웨어의 각 구성 요소와 복잡한 계층 관계를 갖는 오픈소스에 대한 취약점을 제대로 관리하기 위해서는 하드웨어 및 소프트웨어의 구성 요소 목록인 BoM 분석을 기반으로 취약점을 자동으로 점검할 수 있어야 한다.
펌웨어 기반 BoM 분석 및 취약점 점검 구성
이에 쿤텍은 하드웨어에 내재된 취약점을 분석하여 5G 장비 보안을 강화할 수 있는 기존의 펌웨어 분석 기술을 고도화해 하드웨어에 대한 BoM 식별 및 분석 기능을 강화한다. 또한 CVE 취약점을 자동 탐지할 수 있는 분석 기술을 추가로 결합해 CBoM(Cybersecurity Bill of Materials) 분석에 대한 하드웨어 공급망 보안을 강화할 계획이다.
이를 통해 제로데이 취약점과 원데이 취약점을 탐지하여 공급망을 위협하는 다양한 취약점을 점검할 수 있어 광범위한 사이버 공격으로 인한 피해 확산을 사전 차단할 수 있다.
쿤텍이 공급망 보안 강화를 위해 새롭게 개발한 취약점 탐지 자동화 도구는 하드웨어 펌웨어를 기반으로 BoM을 검출할 수 있도록 설계되어 소스코드 없이도 다양한 바이너리 소프트웨어, OS, 플랫폼에 맞춰 보안 취약점을 분석할 수 있다.
또한, 오픈소스의 구성 요소와 관련된 정보를 자동 수집하고 NIST(National Institute of Standards and Technology, 미국 국립표준기술연구소)와의 API 연동 기능을 제공해 실시간으로 게시되는 취약점 정보를 확인 및 분석할 수 있다. 공급업체에서 제공하는 소프트웨어에 대한 일회성 보안 점검이 아닌 지속적인 모니터링을 통한 취약점 통합 관리 역시 가능하다.
공동 연구 기관인 ETRI의 최병철 실장은 “기존의 펌웨어 분석 기술로는 전체 하드웨어에 대한 공급망 분석 및 취약점 점검 지원이 부족했다. 이에 올해 쿤텍과 ETRI는 하드웨어 펌웨어에서 BoM을 추출하고 식별해 분석할 수 있는 기술과 취약점 자동화 탐지 기술을 추가적으로 개발, 기존의 펌웨어 분석 기술을 보완했다. 이번 추가 기술 개발을 통해 하드웨어 BoM에 대한 지속적인 모니터링을 수행할 수 있어 진화하는 보안 위협에 대한 대응력을 높여 하드웨어 뿐만 아니라 소프트웨어 공급망의 보안 경쟁력을 확보할 수 있을 것이다”라고 말했다.
