Andrew Shikiar, FIDO Alliance 전무 이사 겸 CEO
소프트웨어 보안을 강화하기 위한 중요한 움직임의 일환으로 사이버보안 및 인프라 보안국(CISA)과 연방수사국(FBI)은 조직이 소프트웨어 공급업체에 보안 강화를 요구할 때 사용할 수 있는 새로운 지침을 발표했습니다.
The 수요에 따른 보안 가이드: 소프트웨어 고객이 안전한 기술 생태계를 주도하는 방법 는 소프트웨어 고객이 디지털 공급망 보안에서 수행하는 중추적인 역할을 강조합니다. 이 가이드는 소프트웨어 개발의 초기 단계부터 우선순위가 높은 보안 요구 사항을 설명하며, 이는 ‘설계 시 보안’ 제품을 만드는 데 있어 핵심이 되는 원칙입니다.
강조된 항목 중에는 소프트웨어 제품의 기본 기능으로 Passkeys와 같은 피싱 방지 인증 방법이 포함되어 있습니다. 2024년 8월 6일(화) Black Hat USA에서 발표된 이 새로운 지침은 미국과 전 세계의 디지털 공급망을 보호하는 데 있어 중요한 진전을 의미합니다.
수요에 따른 보안, 설계에 따른 보안
이 새로운 지침은 CISA의 최근 지침을 보완합니다. 보안 설계 가이드 를 보완하는 것으로, 기술 제조업체의 소프트웨어 제품 보안 향상을 목표로 합니다. 새로운 지침은 공급망의 조달 측면에 초점을 맞춰 소프트웨어 구매자에게 피싱 방지 인증 및 Passkey와 같은 최신 보안 기능을 기술 제조업체에 요구하도록 권고합니다. 이를 통해 고객은 보안을 기본 기능으로 요구하고 기술 제조업체가 보안 설계 관행을 준수하도록 강제할 수 있습니다.
이 지침에는 소프트웨어 보안을 평가하고 계약에 보안 요구사항을 포함하기 위한 평가도 포함되어 있습니다. 구매자가 제조업체의 보안과 역량을 평가하여 취약성을 줄이고 복원력을 강화할 수 있는 사전 예방적 조달 방식을 권장합니다. 이 가이드는 안전한 소프트웨어 조달을 위한 모범 사례를 수립하고 공급망 보안과 상호운용성을 강화하는 제품 보안 기능을 강조합니다.
Passkeys가 중심이 되다
CISA의 지침은 인증 및 수명 주기 관리에 대한 미국 국립표준기술연구소(NIST)의 최근 디지털 ID 지침과 일치합니다. 보충 지침인 NIST SP 800-63Bsup1에서 NIST는 synced passkeys가 인증 보증 수준 2(AAL2) 요구 사항을 충족하고 장치 바운드 passkey는 인증 보증 수준 3(AAL3)을 충족한다고 확인했습니다. 이 두 가지 지침 문서는 디지털 공급망 전반에서 디지털 ID 및 인증 모범 사례를 포함한 보안의 중요성을 강조합니다.
‘수요에 따른 보안’ 가이드는 IT 구매자에게 힘을 실어주며, 이들은 Passkeys 및 FIDO 인증과 같은 보안 소프트웨어 기능에 대한 시장 수요를 촉진할 수 있습니다. 취약하거나 도난당한 비밀번호가 해킹 관련 침해의 80%를 차지하고 2022년 이후 크리덴셜 피싱이 967% 급증한 것을 고려할 때, 구매자는 이 가이드의 보안 평가를 통해 Passkey 기능을 포함한 소프트웨어 보안을 평가하고 공급망의 보안 위험 관리를 개선할 수 있습니다. CISA는 이 가이드를 통해 보안 소프트웨어에 대한 인식을 높이고 시장 수요를 촉진하는 것을 목표로 합니다.
소프트웨어 제조업체를 위한 주요 권장 사항
CISA의 주문형 보안 가이드는 고객이 소프트웨어를 조달할 때 평가해야 하는 몇 가지 중요한 요구 사항을 간략하게 설명하며 다음 영역에서 소프트웨어 제조업체의 보안 역량을 평가하기 위한 질문을 포함하고 있습니다:
- 인증: 제조업체는 기본적으로 추가 비용 없이 안전한 표준 기반 싱글 사인온(SSO)을 지원하고 피싱 방지 멀티팩터 인증(MFA) 또는 Passkey를 구현해야 합니다.
- 취약점 제거: SQL 인젝션 및 크로스 사이트 스크립팅 취약점과 같은 소프트웨어 결함 클래스를 해결하고 예방하기 위한 체계적인 노력을 기울여야 합니다.
- 보안 기본값: 보안 로그는 추가 비용 없이 고객에게 제공되어 소프트웨어 보안의 투명성과 책임성을 보장해야 합니다.
- 공급망 보안: 소프트웨어 자재 명세서(SBOM)를 통해 타사 종속성의 출처를 보장하고 오픈 소스 구성 요소를 통합하는 강력한 프로세스가 필수적입니다.
- 취약점 공개: 대중의 보안 테스트 승인을 포함하여 취약점을 투명하고 적시에 보고하는 것은 신뢰를 유지하고 보안 결과를 개선하는 데 매우 중요합니다.
보안 리더를 위한 행동 촉구
소프트웨어 공급망 전반에서 소프트웨어를 제조하거나 조달하는 기업들을 위한 지침은 명확합니다. Passkeys는 타사 공급망을 개선하고 소프트웨어 조달 및 개발 프로세스에서 더 높은 보안 표준을 보장합니다. 인증 프로세스에 Passkey를 통합함으로써 조직은 엔드투엔드 디지털 ID 수명 주기 관리를 강화하고 피싱 및 소셜 엔지니어링 공격의 위험을 크게 줄일 수 있습니다.
CISA의 주문형 보안 지침에 대한 자세한 내용은 https://www.cisa.gov/resources-tools/resources/secure-demand-guide 에서 확인하세요.
비밀번호 없이 사용할 준비가 되셨나요?
FIDO 인증 디렉토리 및 FIDO 인증 회원 쇼케이스를 사용하여 Passkeys를 구현하는 방법을 알아보거나 Passkey 배포 파트너를 찾아보세요.
