소프트웨어 생산자에 대한 책임으로부터의 안전한 항구 제공

모든 게시물

2023년 XNUMX월 백악관은 새로운 보고서를 발표했습니다. 국가 사이버 보안 전략. 이 전략은 백악관이 공공 부문과 민간 부문을 모두 포함하여 모든 미국인을 위한 사이버 보안을 개선하는 데 중요하다고 간주하는 5가지 기둥 목록을 간략하게 설명합니다. 세 번째 기둥은 보안과 탄력성을 향상시키기 위해 시장 세력을 형성하려는 추진력을 다룹니다. 그 목록의 일부는 너무 많은 소프트웨어 생산자가 사이버 보안이나 적절한 테스트에 적절하게 투자하지 않고 계약에 따른 책임을 회피한다는 생각입니다. 사용자 계약의 작은 글씨에서 다음과 같은 내용을 자주 찾을 수 있습니다. “라이센스 사용자는 제XNUMX자의 청구로 인해 발생하는 모든 손실, 비용, 비용 또는 책임(합리적인 변호사 비용 포함)으로부터 라이센서를 면책하고 피해가 없도록 하는 데 동의합니다. 라이센스 사용자의 소프트웨어 사용을 기반으로 라이센스 제공자에 대해.” (더보기 LINK)

대기업은 그러한 계약을 시행할 수 있는 권한과 자금을 가지고 있지만 백악관은 소프트웨어 및 하드웨어 생산자가 자신이 생산하는 소프트웨어 및 하드웨어에 대한 궁극적인 책임이 있다고 간주합니다. 전략 문서에서 인용하자면 다음과 같습니다. “책임은 안전하지 않은 소프트웨어의 결과를 자주 부담하는 최종 사용자나 구성 요소의 오픈 소스 개발자가 아니라 나쁜 결과를 방지하기 위해 조치를 취할 수 있는 가장 능력이 있는 이해관계자에게 있어야 합니다. 상용 제품에 통합되었습니다.”

백악관은 소프트웨어 제품 및 서비스에 대한 책임을 규정하는 법안을 개발할 것을 제안합니다. 지금까지 그러한 종류의 법적 문제를 회피하기 위해 책임 전가 및 난독화된 사용자 계약에 의존해 온 회사라면 그러한 책임이 무섭게 들릴 수 있습니다. 그러한 주장이 미국 법률 시스템에 쉽게 제시된다는 점을 고려하면 더욱 당황스럽습니다.

모든 강력한 기업에 당근을 제공하기 위해 이 전략은 소프트웨어를 보호하기 위해 해야 할 모든 조치를 취했음을 증명할 수 있는 기업을 책임으로부터 보호하기 위한 Safe Harbor 프레임워크의 발전을 제안합니다. Safe Harbor라는 용어는 문서에 두 번만 나타납니다. 제안된 프레임워크가 정확히 무엇인지, 어디에서 왔는지, 현재 다루고 있거나 다루도록 제안된 용어가 무엇인지 궁금할 것입니다.

이 기사에서는 기존 Safe Harbor 법률을 살펴보고 해당 법률이 현재 적용되는 위치와 이를 준수하는 회사에 무엇을 제공하는지 살펴보겠습니다. 

기존의 세이프 하버(Safe Harbor) 법률은 무엇입니까? 현재 세이프 하버를 제공하는 법률 살펴보기

오늘부터 여러 주에서 도입되었습니다. 데이터 위반 기업이 사이버 보안에 적극적으로 대처하도록 장려하기 위해 데이터 유출로 인한 책임에 대해 적극적 방어를 제공하는 "세이프 하버"법입니다. 조직은 업계에서 인정하는 모범 사례 표준을 준수하는 사이버 보안 프로그램을 구현 및 유지해야 하며, 세이프 하버(Safe Harbor) 보호 자격을 얻으려면 위반 당시 해당 프로그램을 합리적으로 준수하고 있음을 입증할 수 있어야 합니다.

오하이오 2018년에 사이버보안 적극적 방어를 통과한 최초의 주였습니다. 코네티컷 and 유타 최근 2021년에 해당 법안을 채택했습니다. 다른 여러 주에서도 유사한 Safe Harbor 법률이 제안되었습니다. 특히 2020년에는 아이오와주와 뉴저지주, 2021년에는 조지아주와 일리노이주에서 실시됩니다(참조: LINK 상세 사항은). 이러한 모든 제안은 사이버 보안 프로그램을 갖춘 기업에 긍정적인 방어를 제공하지만 정확한 조건은 주정부에 따라 다릅니다. 예를 들어, 코네티컷, 오하이오, 유타 법안에 언급된 업계 표준 프레임워크는 조지아 법안에 구체적으로 나열되어 있지 않습니다. 대신 조지아 법은 회사의 규모, 복잡성, 보호되는 정보의 민감도를 고려하는 "합리적인" 프레임워크를 요구합니다. 이 전략은 다른 주 법률의 핵심 구성 요소이지만 조지아 법안은 옵션을 특정 프레임워크로 제한하지 않기로 결정한 것으로 보입니다.

수용 가능한 표준 측면에서 오늘날 가장 일반적인 미국 사이버 보안 프레임워크는 NIST의 SSDF(NIST 800-218) 그리고 이 프레임워크는 백악관 전략 문서에도 언급되어 있습니다. 

이러한 경우 중 어떤 경우에도 책임으로부터의 보호가 절대적인 것은 아니라는 점에 유의하는 것이 중요합니다. 조직이 위협이나 취약성에 대해 알고 있었지만 이를 적시에 해결하기 위한 합리적인 조치를 취하지 못해 데이터 침해가 발생한 경우 세이프 하버(Safe Harbor)를 방어 수단으로 사용할 수 없습니다. 전반적으로, 이 법안의 기본 아이디어는 기업이 스스로를 보호하기 위해 모범 사례를 실천하도록 장려하는 것입니다. 업계에서 인정한 모범 사례에서 요구하는 최소한의 조치조차 취하지 못한다면 데이터 침해가 불가피하게 발생할 경우 책임에서 면제될 수 없습니다. 

이 사이버 보안 전략에서 CISA의 역할은 무엇입니까?

2023년 XNUMX월 CISA는 소프트웨어 보안을 위한 새로운 공동 가이드를 발표했습니다. 사이버 보안 위험의 균형 전환: 보안 설계 및 기본 원칙. 이번 정책 가이드는 백악관의 전략보고서가 공개된 지 약 한 달 만에 나온 것으로 그 영향력을 여실히 엿볼 수 있다. CISA는 전 세계 여러 사이버 보안 기관의 지원을 받아 백악관이 제안한 것과 동일한 접근 방식을 취하고 이를 글로벌화하는 것을 목표로 합니다. 가이드의 목적은 소프트웨어 제조업체는 근본적인 투명성을 사용하고 안전한 제품을 구축하여 제품과 코드에 대한 책임을 지며, 설계상 안전하고 기본적으로 안전한 제품을 개발합니다.

구성 요소에 대해 알고 있으면 유용한 또 다른 정보 계층은 해당 라이센스입니다. 많은 오픈 소스 구성 요소에는 상업적 사용과 호환되지 않는 라이선스가 함께 제공됩니다. 자신이 포함하지 않았지만 다른 구성 요소에 의해 포함된 모든 오픈 소스 구성 요소가 라이선스 측면에서 만들려는 모든 것과 호환되는지 확인하는 것이 중요합니다.

이러한 기본 아이디어는 CISA 가이드에서 확장되어 소프트웨어 개발자에게 제품 보안을 강화하기 위한 실행 가능한 권장 사항의 긴 목록을 제공합니다.

이러한 특정 권장 사항 중 얼마나 많은 것이 다음을 기반으로 하는지 보는 것은 흥미롭습니다. NIST의 SSDF 프레임워크 그러나 덜 자발적이고 보다 실용적인 방식으로 표현됩니다. 예를 들어, 가이드에서는 소프트웨어 개발자가 an SBOM 소프트웨어 구성 요소에 대한 가시성을 제공하기 위해 SDLC에 추가합니다. SSDF는 SBOM을 권장하지만 명확하고 의무적인 지침으로 언급된 적은 없습니다.

책임 전환 합법화

국가 사이버 보안 전략 또는 그 일부는 기존 주 법률을 기반으로 하지만 훨씬 더 광범위하고 포괄적인 통합 세이프 하버 프레임워크를 만들 것을 제안합니다. 우선, 기존 법률은 데이터 침해의 경우 책임으로부터만 보호를 제공합니다. 제안된 프레임워크는 기소된 회사가 SSDF와 같은 기존 모범 사례를 준수함을 입증할 수 있는 한 사이버 사고에 대한 모든 책임에 대해 작동할 것입니다.

제안된 프레임워크는 적응 가능해야 하며 새로운 보안 프레임워크와 새로운 모범 사례가 발견되고 구현될 때 이를 통합하도록 발전할 수 있어야 합니다. 이 전략에서는 보안 공개 프로그램과 추가 SBOM 도구 및 사용 사례 개발에 계속 투자할 것을 제안합니다.

소프트웨어 생태계는 책임의 중대한 전환 없이는 지금까지처럼 계속 발전할 수 없습니다. 초기 아이디어와 설계 단계부터 모든 소프트웨어 제품에 있어서 보안이 최우선이라는 점은 생산자와 사용자 모두에게 분명해야 합니다. 보안은 개발이 완료된 후 나중에 추가할 사항으로 추가되어서는 안 됩니다. 책임 전환은 민간 부문 없이는 일어날 수 없으며 이 부문은 연방의 강압적인 개입을 혐오하는 것으로 악명 높기 때문에 '감옥에서 나가기' 카드 형태로 '당근'을 제공한다는 아이디어는 좋은 인센티브입니다. .

사이버 보안 모범 사례 준수를 입증하는 방법

'기존 모범 사례를 준수하고 있음을 입증'해야 한다는 법률이 있으면 어떻게 하시겠습니까? SSDF와 같은 현재 미국 규정 및 모범 사례는 소프트웨어 제작자가 다음을 활용하도록 권장합니다. 증명 공급망을 확보하기 위해 그래서 그러한 증거를 제공합니다. 

증명은 확인 가능하고 암호화되어 서명된 증거 조각(예: 파일, 폴더, 저장소, 파일 출처 또는 테스트 결과)입니다. 이러한 증거는 특정 환경적 맥락과 연결되어야 하며, 이를 통해 증명된 이벤트나 파일의 존재를 증명하기 위해 확인할 수 있는 불변의 증거가 되어야 합니다.

Scribe는 다음과 같은 도구를 제공합니다. 발린트 이는 증거를 생성하고 이를 증명에 서명한 다음 나중에 검색하고 확인하는 기능을 제공합니다. 이 도구를 다음과 함께 사용하면 스크라이브 허브 플랫폼 최종 제품뿐만 아니라 이를 구현하는 각 빌드에 대한 증거 추적을 생성하여 빌드가 완료된 직후와 같은 단일 지점이 아닌 시간이 지남에 따라 보안 모범 사례를 지속적으로 준수하고 있음을 입증할 수 있습니다. .

Scribe는 Valint 사용을 무료로 제공하고 프리미엄 기반으로 플랫폼 사용을 제공합니다. 지금 바로 무료로 실험을 시작할 수 있습니다. Scribe를 무료로 사용해 보세요 어떤 도구와 기능을 제공하는지 알아보세요. 각 빌드에 대해 지속적으로 이러한 증거를 수집하면 시간이 지남에 따라 제품 보안에 대한 고유한 관점을 제공할 수도 있습니다. 지배적인 변화의 바람이 소프트웨어 제작자의 책임 확대를 향하고 있는 것처럼 보이기 때문에 법으로 성문화될 때까지 기다리기보다는 지금 확실한 증거와 증명 수집을 시작하는 것이 좋은 생각인 것 같습니다.

기치 

이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.