새로운 연방 소프트웨어 보안 의무 이해 및 충족: 실용 가이드

새로운 연방 소프트웨어 보안 의무 이해 및 충족: 실용 가이드

연방 소프트웨어 보안의 풍경은 상당한 변화를 겪고 있습니다. 2025년 XNUMX월 백악관은 새로운 행정 명령 연방 기관에서 사용하는 타사 소프트웨어 공급망의 보안 및 투명성 강화에 중점을 둡니다. 이 명령은 소프트웨어 공급업체가 이해하고 준비해야 하는 중요한 변화를 도입하는데, 특히 엄격한 규정 준수 일정을 감안할 때 더욱 그렇습니다.

맥락: 왜 지금인가?

최근 몇 년 동안 취약점을 악용한 일련의 파괴적인 사이버 공격이 발생했습니다. 소프트웨어 공급망. SolarWinds 침해, 3CX 공격, Codecov 악용, Log4Shell 취약성은 경계 방어와 사후 사고 대응에 중점을 둔 기존 보안 모델이 더 이상 충분하지 않다는 것을 보여주었습니다. 공격자는 이제 소프트웨어 개발 라이프사이클 자체를 표적으로 삼아 소프트웨어가 최종 사용자에게 도달하기 전에 악성 코드를 심거나 취약성을 악용하고 있습니다.

타사 소프트웨어 구성 요소와 상업적으로 제공되는 솔루션에 대한 의존도가 증가함에 따라 정부 시스템의 잠재적 공격 표면이 확대되었습니다. 소프트웨어 공급망의 복잡성이 증가함에 따라 개발 프로세스 전반에 걸쳐 가시성, 책임성 및 보안 조치에 대한 시급한 요구가 발생했습니다.

새로운 요구 사항 이해

2025년 행정명령(EO)은 이전 지침, 특히 14028년 행정명령(EO) 2021을 기반으로 하지만 몇 가지 주요 혁신을 도입합니다.

1. 기계 판독 가능한 증명. 일반 문서를 수용했던 이전 요구 사항과 달리, 새로운 의무는 보안 소프트웨어 개발 관행에 대한 표준화되고 기계가 읽을 수 있는 증명을 요구합니다. 이는 연방 시스템에서 자동으로 수집 및 검증되어야 하며, 자동화된 규정 준수 검증으로의 상당한 전환을 나타냅니다. 소프트웨어 공급업체는 자동화된 기관 검토를 가능하게 하는 형식으로 NIST 800-218 또는 OWASP와 같은 인정된 보안 프레임워크와의 일치를 입증해야 합니다.
2. 통합 증거 생태계. EO는 기계 판독 증명에서 주장한 주장의 증거로 고수준 아티팩트를 의무화합니다. 이는 명시된 관행과 실제 증거 간의 긴밀한 일치를 만들어 공급자가 보안 조치에 대한 포괄적인 문서를 유지하도록 요구합니다. 이러한 아티팩트에는 다음이 포함되어야 합니다.

• 안전한 개발 프로세스에 대한 사람이 읽을 수 있는 요약
• 감사 인증서 또는 독립적인 평가(특히 중요 소프트웨어의 경우)
• 에 대한 참조 소프트웨어 BOM (SBOM)
• 각 코드 구성 요소의 출처와 기여자를 증명하는 문서
• 보안 테스트 및 코드 검토의 검증 로그

1. 연방 민간 행정부(FCEB) 기관 가시성. 소프트웨어 공급업체는 버전 세부 정보를 포함하여 어떤 FCEB 기관이 자사 제품과 서비스를 사용하는지에 대한 최신 목록을 유지해야 합니다. 이를 통해 연방 기관 전체에서 조정된 취약성 보고 및 패치 롤아웃이 보장됩니다. 공급업체는 투명성을 유지하는 동시에 민감한 조달 정보를 무단 공개로부터 보호하고 이러한 세부 정보를 승인된 연방 기관과 공유하기 위한 안전한 방법을 구현해야 합니다.
2. 자동화된 취약성 관리. 새로운 위임은 취약성 대응을 위한 공격적인 타임라인을 설정합니다. 제공자는 다음을 수행해야 합니다.

• 지속적인 자동 보안 스캐닝 실행
• 가속화된 시간 프레임(예: 48시간) 내에 중요한 취약점을 수정합니다.
• 업데이트된 코드에 대한 명확한 보관 체계를 유지하십시오.
• 기관에 보안 문제에 대한 실시간에 가까운 알림 제공
• 증명 시스템을 통해 모든 패치를 문서화하고 확인합니다.
• 보안 결함을 감지하기 위한 자동화 도구 구현

규정 준수를 위한 중요한 타임라인

EO는 소프트웨어 공급업체가 준비해야 할 엄격한 타임라인을 설정합니다.

• 60일 이내: 관리예산국(OMB), NIST 및 CISA는 증명 형식 및 최소 요구 사항에 관한 포괄적인 지침을 제공합니다.
• 180일까지: 모든 신규 연방 소프트웨어 조달에는 기계 판독 가능 SDLC 증명이 포함되어야 하며 기존 공급업체는 고급 아티팩트와 초기 FCEB 고객 목록을 생성해야 합니다.
• 365일까지: 기관은 비준수 소프트웨어를 단계적으로 폐지해야 하며 제3자 감사가 시작됩니다.

소프트웨어 개발에 미치는 영향

이 명령은 조직이 연방 정부에서 사용하는 소프트웨어 개발에 접근하는 방식을 근본적으로 바꿔놓습니다. 개발팀은 다음을 수행해야 합니다.

• CI/CD 파이프라인 전체에 보안 제어 및 검사를 통합합니다.
• 증명 생성 및 관리를 위한 새로운 도구 및 프로세스 구현
• 종속성 추적 및 검증에 대한 체계적인 접근 방식 수립
• 규정 준수 문서화를 위한 자동화된 워크플로 생성
• 신속한 보안 대응 및 패치 배포를 위한 역량 개발

비준수의 결과

소프트웨어 공급업체에게는 위험이 큽니다. 불이행은 다음과 같은 결과를 초래할 수 있습니다.

• 기존 연방 계약의 즉각적인 중단 또는 종료
• 향후 조달에서의 실격
• 허위 청구법에 따른 잠재적인 법적 및 재정적 처벌
• 공개 규정 준수 대시보드를 통해 확인되는 평판 손상
• 정부와 민간 부문 고객 모두의 신뢰 상실
• 향후 연방 조달 프로세스에 대한 감시 강화

성공을 위한 준비

이러한 요구 사항을 성공적으로 충족하려면 조직은 다음 사항에 중점을 두어야 합니다.

1. 개발 파이프라인 전체에서 보안 검사 및 증거 수집 자동화
2. 추적 가능성을 보장하기 위해 빌드 아티팩트의 암호화 서명 구현
3. 정기 감사를 통해 지속적인 규정 준수 모니터링 구축
4. 실시간 취약점 공개 및 패치 관리를 위한 시스템 구축
5. FCEB 고객 목록 및 버전 추적을 유지하기 위한 명확한 프로세스 개발
6. 기계가 읽을 수 있는 증명과 사람이 읽을 수 있는 요약을 모두 생성할 수 있는 기능 구축
7. 새로운 보안 요구 사항 및 절차에 대한 교육 개발 팀
8. 자격을 갖춘 제3자 감사인과의 관계 구축

규정 준수 요구 사항을 더 자세히 알아보고 실용적인 솔루션에 대해 알아보고 싶으신가요? 포괄적인 백지 새로운 연방 소프트웨어 보안 의무를 충족하는 방법에 대한 자세한 통찰력을 알아보세요. 백서에는 구체적인 기술 요구 사항, 구현 전략, 규정 준수 자동화 접근 방식, 전반적인 보안 태세를 강화하는 동시에 지속적인 규정 준수를 유지하기 위한 입증된 솔루션이 포함되어 있습니다.

이 위임은 도전이자 기회를 나타냅니다. 규정 준수에는 상당한 준비가 필요하지만 효과적으로 적응하는 조직은 보안 태세를 강화하고 연방 시장에서 유리한 위치를 차지할 것입니다. 핵심은 요구 사항을 철저히 이해하고 개발 프로세스의 효율성을 유지하면서 위임의 모든 측면을 해결하는 포괄적이고 자동화된 솔루션을 구현하는 것입니다.

관련 게시물

소프트웨어 공급망 보안: 알아야 할 상위 7가지 모범 사례

오늘날의 상호 연결된 디지털 환경에서는 소프트웨어 공급망의 보안을 보장하는 것이 무엇보다 중요합니다. 소프트웨어 공급망은 소프트웨어 개발, 구축 및 배포와 관련된 모든 프로세스와 구성 요소를 포함하며 사이버 공격의 표적이 되는 경우가 점점 더 많아지고 있습니다. 수많은 회사와 협력하고 광범위한 업계 경험을 활용하면서 저는 […]

SSDF(NIST 800-218) 최종 버전 – 초안과의 차이점 및 그 영향

22월 1.1일 NIST는 SSDF XNUMX(보안 소프트웨어 개발 프레임워크)의 최종 버전을 출시했습니다. 최종 버전과 이전 초안의 차이점을 몇 가지 살펴보겠습니다.

혼란에서 명확함으로: 증명을 통해 공급망을 보호하는 방법

모든 사람이 점점 더 많은 인식을 갖게 되면서 소프트웨어 공급망을 보호하는 것이 모든 조직의 사이버 보안 전략에서 중요한 부분이 되어야 합니다. 소프트웨어 공급망 위협을 완화하기 위한 포괄적인 전략을 수립하는 데 있어 가장 어려운 점 중 하나는 공급망의 복잡성과 다양성입니다. 각 공급망은 고유하며 요소는 […]