가. 정의 및 필요성
(1) 정의

☐ 기업 ICT 하드웨어, 펌웨어, 소프트웨어 등 공급망 구조를 파악해 내재된
보안 취약점을 AI를 활용해 사이버 위험을 자동으로 탐지‧대응할 수 있는 기술

❍ 전통적인 공급망 구조와 달리 ICT 하드웨어, 소프트웨어를 근간으로 기본적인 소프트웨어
재료 명세서 도구, 오픈소스 소프트웨어 등에 대한 보안대책 마련을 중심으로 함
- 공급망이란 판매 제품의 생산, 유통, 유지에 요구되는 모든 부품과 서비스를
공급하는 개별 기업들을 의미
- IT 기반의 공급망 구조는 부품 및 서비스 공급자의 생산성 증대를 위해 도입되며
업체 간 통합된 생태계로 구성되어 있음
- 통합 소프트웨어 생태계 형성으로 인프라, 운영체제, 클라우드, 레파지토리 및
기타 오픈소스 프로젝트 등에서 소프트웨어 보안 이슈가 빈번히 발생

☐ 공급망 보안의 대표기술은 SBoM 자동생성도구, 소프트웨어/하드웨어
취약점 및 자동화 기술, 오픈소스 소프트웨어 공급망 보안 관리 기술이 있음

❍ (SBoM 자동생성도구) 오픈소스 소프트웨어 컴포넌트, 패키지와 라이브러리의 관계 등을
체계적으로 기록하여 SPDX, CycloneDX, SWID 등과 같은 수준의 국내표준 도구 개발

❍ (소프트웨어 취약점 분석 및 자동화 기술) 단일 소프트웨어 3rd party, API 등 소프트웨어
환경에서 발생 가능한 메모리, 패키지, 라이브러리, 종속성 등의 보안 취약점을
자동으로 식별 및 탐지하고 대응할 수 있는 기술

❍ (하드웨어 취약점 분석 및 자동화 기술) 시스템 온 칩, FPGA, PLD, MOU 등 하드웨어
디바이스에 존재하는 보안 취약점을 AI를 이용해 자동으로 식별‧탐지‧대응하는 기술

❍ (오픈소스 소프트웨어 공급망 보안 관리 기술) 오픈소스로 인한 라이선스 충돌,
레파지토리, 패키지 등 생태계를 구성하고 있는 구성요소로 인해 소프트웨어 기반
공급망 환경에서 발생할 수 있는 보안이슈를 관리하고 대응하는 기술

----------------------------------------------------------------------------------------------------------------------