Andrew Shikiar, FIDO Alliance 전무 이사 겸 CEO

소프트웨어 보안을 강화하기 위한 중요한 움직임의 일환으로 사이버보안 및 인프라 보안국(CISA)과 연방수사국(FBI)은 조직이 소프트웨어 공급업체에 보안 강화를 요구할 때 사용할 수 있는 새로운 지침을 발표했습니다.

The 수요에 따른 보안 가이드: 소프트웨어 고객이 안전한 기술 생태계를 주도하는 방법 는 소프트웨어 고객이 디지털 공급망 보안에서 수행하는 중추적인 역할을 강조합니다. 이 가이드는 소프트웨어 개발의 초기 단계부터 우선순위가 높은 보안 요구 사항을 설명하며, 이는 ‘설계 시 보안’ 제품을 만드는 데 있어 핵심이 되는 원칙입니다.

강조된 항목 중에는 소프트웨어 제품의 기본 기능으로 Passkeys와 같은 피싱 방지 인증 방법이 포함되어 있습니다. 2024년 8월 6일(화) Black Hat USA에서 발표된 이 새로운 지침은 미국과 전 세계의 디지털 공급망을 보호하는 데 있어 중요한 진전을 의미합니다.

수요에 따른 보안, 설계에 따른 보안

이 새로운 지침은 CISA의 최근 지침을 보완합니다. 보안 설계 가이드 를 보완하는 것으로, 기술 제조업체의 소프트웨어 제품 보안 향상을 목표로 합니다. 새로운 지침은 공급망의 조달 측면에 초점을 맞춰 소프트웨어 구매자에게 피싱 방지 인증 및 Passkey와 같은 최신 보안 기능을 기술 제조업체에 요구하도록 권고합니다. 이를 통해 고객은 보안을 기본 기능으로 요구하고 기술 제조업체가 보안 설계 관행을 준수하도록 강제할 수 있습니다.

이 지침에는 소프트웨어 보안을 평가하고 계약에 보안 요구사항을 포함하기 위한 평가도 포함되어 있습니다. 구매자가 제조업체의 보안과 역량을 평가하여 취약성을 줄이고 복원력을 강화할 수 있는 사전 예방적 조달 방식을 권장합니다. 이 가이드는 안전한 소프트웨어 조달을 위한 모범 사례를 수립하고 공급망 보안과 상호운용성을 강화하는 제품 보안 기능을 강조합니다.

Passkeys가 중심이 되다

CISA의 지침은 인증 및 수명 주기 관리에 대한 미국 국립표준기술연구소(NIST)의 최근 디지털 ID 지침과 일치합니다. 보충 지침인 NIST SP 800-63Bsup1에서 NIST는 synced passkeys가 인증 보증 수준 2(AAL2) 요구 사항을 충족하고 장치 바운드 passkey는 인증 보증 수준 3(AAL3)을 충족한다고 확인했습니다. 이 두 가지 지침 문서는 디지털 공급망 전반에서 디지털 ID 및 인증 모범 사례를 포함한 보안의 중요성을 강조합니다.

‘수요에 따른 보안’ 가이드는 IT 구매자에게 힘을 실어주며, 이들은 Passkeys 및 FIDO 인증과 같은 보안 소프트웨어 기능에 대한 시장 수요를 촉진할 수 있습니다. 취약하거나 도난당한 비밀번호가 해킹 관련 침해의 80%를 차지하고 2022년 이후 크리덴셜 피싱이 967% 급증한 것을 고려할 때, 구매자는 이 가이드의 보안 평가를 통해 Passkey 기능을 포함한 소프트웨어 보안을 평가하고 공급망의 보안 위험 관리를 개선할 수 있습니다. CISA는 이 가이드를 통해 보안 소프트웨어에 대한 인식을 높이고 시장 수요를 촉진하는 것을 목표로 합니다.

소프트웨어 제조업체를 위한 주요 권장 사항

CISA의 주문형 보안 가이드는 고객이 소프트웨어를 조달할 때 평가해야 하는 몇 가지 중요한 요구 사항을 간략하게 설명하며 다음 영역에서 소프트웨어 제조업체의 보안 역량을 평가하기 위한 질문을 포함하고 있습니다:

  • 인증: 제조업체는 기본적으로 추가 비용 없이 안전한 표준 기반 싱글 사인온(SSO)을 지원하고 피싱 방지 멀티팩터 인증(MFA) 또는 Passkey를 구현해야 합니다.
  • 취약점 제거: SQL 인젝션 및 크로스 사이트 스크립팅 취약점과 같은 소프트웨어 결함 클래스를 해결하고 예방하기 위한 체계적인 노력을 기울여야 합니다.
  • 보안 기본값: 보안 로그는 추가 비용 없이 고객에게 제공되어 소프트웨어 보안의 투명성과 책임성을 보장해야 합니다.
  • 공급망 보안: 소프트웨어 자재 명세서(SBOM)를 통해 타사 종속성의 출처를 보장하고 오픈 소스 구성 요소를 통합하는 강력한 프로세스가 필수적입니다.
  • 취약점 공개: 대중의 보안 테스트 승인을 포함하여 취약점을 투명하고 적시에 보고하는 것은 신뢰를 유지하고 보안 결과를 개선하는 데 매우 중요합니다.

보안 리더를 위한 행동 촉구

소프트웨어 공급망 전반에서 소프트웨어를 제조하거나 조달하는 기업들을 위한 지침은 명확합니다. Passkeys는 타사 공급망을 개선하고 소프트웨어 조달 및 개발 프로세스에서 더 높은 보안 표준을 보장합니다. 인증 프로세스에 Passkey를 통합함으로써 조직은 엔드투엔드 디지털 ID 수명 주기 관리를 강화하고 피싱 및 소셜 엔지니어링 공격의 위험을 크게 줄일 수 있습니다.

CISA의 주문형 보안 지침에 대한 자세한 내용은 https://www.cisa.gov/resources-tools/resources/secure-demand-guide 에서 확인하세요.
비밀번호 없이 사용할 준비가 되셨나요? FIDO 인증 디렉토리FIDO 인증 회원 쇼케이스를 사용하여 Passkeys를 구현하는 방법을 알아보거나 Passkey 배포 파트너를 찾아보세요.


More

새로운 데이터에 따르면 Passkeys 주류 추진력을 얻음에 따라 비밀번호 문제로 인해 젊은 고객을 잃고 있습니다.

글로벌 FIDO Alliance 연구는 인증 방법 및 온라인 보안에 대한 최신 소비자 동향 및 태도를…

자세히 보기 →

FIDO Alliance, Passkey 채택을 가속화하기 위한 포괄적인 웹 리소스 출시

Passkey Central은 리더에게 암호 키에 대한 교육과 소비자 로그인을 위해 암호 키를 구현하는 단계를 제공합니다…

자세히 보기 →

FIDO Alliance 사용자 선택을 촉진하고 Passkeys에 대한 UX를 개선하기 위한 새로운 사양을 게시합니다.

FIDO Alliance는 보안 자격 증명 교환을 위한 새로운 사양 세트의 작업 초안을 발표했으며, 자격 증명…

자세히 보기 →


12366 다음