[데이터넷] 앤앤에스피(대표 김일용)는 소프트웨어 공급망 보안 솔루션 ‘앤넷트러스트(nNetTrust)’가 국가정보원 ‘국가용보안요구사항 V3.0 보안기능확인서’를 획득했다고 24일 밝혔다.

국가정보원은 국가정보통신망의 보안수준 제고를 위해 ‘국가정보원법’ 제4조와 ‘전자정부법’ 제56조에 의거, 국가·공공기관이 도입하는 정보보호시스템에 대해 보안적합성 검증 제도를 시행하고 있다. 자료 전송 관련 제품의 경우 2020년부터 ‘CC 인증’에서 ‘보안기능 확인서’를 활용한 선검증 절차로 전환·시행 중이다. ‘보안기능확인서’를 발급받을 경우 보안적합성 검증절차를 생략하고 운영할 수 있다.

국가정보원은 사이버 공격 기법이 다양화·고도화됨에 따라 해킹 피해를 막기 위해 사이버 위협에 맞춰 보안요구사항 수준을 높인 ‘국가용 보안요구사항 V3.0’을 2023년 4월부터 의무 적용하고 있다.

앤앤에스피 앤넷트러스트는 소프트웨어 보안 업데이트를 안전하게 지원하는 망연계 솔루션으로, 악성코드 유입에 대한 클린 시스템 기능을 제공한다. 외부망에서 조직 내부망으로 소프트웨어 업데이트를 하거나 특정 파일과 자료 등을 검사해 안전하고 인가된 정보만 전달한다.

앤넷트러스트는 송신 서버(TX), 멀티 백신 엔진이 장착된 클린 PC 서버(CLN), 수신 서버(RX) 총 3개의 서버가 하나로 시스템으로 구성됐다. 물리적 일방향으로 분리되는 ‘에어갭’ 환경을 유지해 외부망에서 내부망으로만 자료 전송을 가능하게 했다.

비보안영역(외부망 등)에서 패치, 업데이트, 외부 정보 등을 수집해 클린 영역에서 악성코드 및 무결성을 검사하고 보안영역(업무망 등)으로 검증된 수집 정보를 일방향으로 안전하게 전달함으로써 업무의 효율성을 높인다. 외부망에서 수집한 패치와 업데이트를 정보를 클린시스템을 거쳐 내부망으로 자동 전달해 실시간 패치하며, 외부로 정보유출도 차단한다. 앤넷트러스트는 유명 소프트웨어 기업의 패치 파일도 신뢰하지 않고 한번 더 무결성을 검증한다.

김일용 앤앤에스피 대표는 “사이버 공격자들이 무차별 해킹보다는 특정 기업을 표적으로 삼아 침투하고 있다"면서 “공격자는 소프트웨어 개발 프로세스를 방해하거나 완성된 제품의 취약점을 찾아내 업데이트를 통해 악성코드를 배포한다”며 “앤넷트러스트는 이런 소프트웨어 공급망 이슈에 대응하는 제품으로 이번에 보안기능확인서 V3.0을 획득해 공공기관 소프트웨어 공급망 보안을 강화할 수 있다”고 덧붙였다.

김선애 기자 다른기사 보기