[더테크 뉴스] 쿤텍은 ETRI(한국전자통신연구원)와 함께 하드웨어 공급망 보안 강화를 위해 기존의 펌웨어 분석 기술을 기반으로 BoM(자재명세서) 추출 및 분석, 취약점 자동 탐지 기술을 추가 개발한다고 21일 밝혔다.

다양한 유형의 취약점에 대한 정보를 빠르게 분석하고 소프트웨어의 각 구성요소와 복잡한 계층 관계를 갖는 오픈소스에 대한 취약점을 제대로 관리하기 위해서는 하드웨어 및 소프트웨어의 구성 요소 목록인 BoM 분석을 기반으로 취약점을 자동 점검할 수 있어야 한다.

이에 쿤텍은 하드웨어에 내재된 취약점을 분석해 5G 장비 보안을 강화할 수 있는 기존의 펌웨어 분석 기술을 고도화해 하드웨어에 대한 BoM 식별 및 분석 기능을 강화하고, CVE 취약점을 자동 탐지할 수 있는 분석 기술을 추가로 결합해 CBoM(Cybersecurity Bill of Materials) 분석에 대한 하드웨어 공급망 보안을 강화할 계획이다. 이를 통해 제로데이(0-Day) 취약점과 원데이(1-Day) 취약점을 탐지해 공급망을 위협하는 다양한 취약점을 신속하고 정확하게 점검할 수 있어 광범위한 사이버 공격으로 인한 피해 확산을 사전 차단할 수 있다.

쿤텍이 공급망 보안 강화를 위해 새롭게 개발한 취약점 탐지 자동화 도구는 하드웨어 펌웨어를 기반으로 BoM을 검출할 수 있도록 설계되어 소스코드 없이도 다양한 바이너리 소프트웨어, OS, 플랫폼에 맞춰 보안 취약점을 분석할 수 있다. 또한 오픈소스의 구성 요소와 관련된 정보를 자동 수집하고 NIST(미국 국립표준기술연구소)와의 API 연동 기능을 제공해 실시간으로 게시되는 취약점 정보를 확인 및 분석할 수 있다. 공급업체에서 제공하는 소프트웨어에 대한 일회성 보안 점검이 아닌 지속적인 모니터링을 통한 취약점 통합 관리 역시 가능하다.

공동연구기관인 ETRI 최병철 실장은 “기존의 펌웨어 분석 기술로는 전체 하드웨어에 대한 공급망 분석 및 취약점 점검 지원이 부족했다. 이에 올해 쿤텍과 ETRI는 하드웨어 펌웨어에서 BoM을 추출하고 식별해 심층 분석할 수 있는 기술과 취약점 자동화 탐지 기술을 추가적으로 개발해 기존의 펌웨어 분석 기술을 보완했다”라고 말했다. 

이어 “이번 추가 기술개발을 통해 하드웨어 BoM에 대한 지속적인 모니터링을 수행할 수 있어 끊임없이 변화하는 보안 위협에 대한 대응력을 높여 하드웨어뿐만 아니라 소프트웨어 공급망의 보안 경쟁력을 확보할 수 있을 것”이라며 기대감을 드러냈다.