고위 미군 사령관은 오픈 소스 소프트웨어 취약점을 통해 미국의 디지털 인프라를 타협하기 위해 외국 적대들의 조정 된 노력에 대한 뚜렷한 경고를 발표했습니다. 미국 사이버 사령관의 폴 엠 나카 소 (Paul M. Nakasone) 장군은 상원 무장 서비스위원회 앞에서 중국과 러시아가 미국 부문에서 활용 된 공개적으로 이용 가능한 소프트웨어에 악의적 인 코드를 적극적으로 삽입하고 있다고 증언했다.

대상 오픈 소스 소프트웨어는 미국 인프라의 여러 생명 부문 내에서 운영의 중추를 형성합니다. Nakasone 장군은 이러한 타협 된 프로그램이“미군, 정부 및 민간 부문에 의해 널리 사용되어”체계적인 취약점을 창출한다고 강조했다. Open-Source Software의 고유 한 투명성 (누구나 공개적으로 액세스 할 수 있고 수정 가능)는 전력망 및 통신 네트워크를 포함한 필수 시스템에 대한 광범위한 채택에도 불구하고 이러한 국가 주 침투에 특히 취약합니다.

Nakasone은 청문회 중에“우리는 여러 가지 방법으로보고 있습니다. “우리는 우리의 대적, 특히 중국과 러시아를보고 있습니다. [engaging] 오픈 소스 소프트웨어에 악의적 인 코드 삽입에서.” 장군은이 은밀한 운영의 정교한 특성을 강조했으며, 이는 미국 디지털 생태계 내에서 지속적인 액세스 포인트를 확립하는 것을 목표로했다.

You Might Also Like
Disney+는 스트리밍 앱에 TikTok 스타일의 스크롤 기능을 제공합니다.
Disney+는 스트리밍 앱에 TikTok 스타일의 스크롤 기능을 제공합니다.
에픽게임즈 금주의 무료 게임: Spirit of the North
에픽게임즈 금주의 무료 게임: Spirit of the North
Instagram에서 다이렉트 메시지를 차단하는 방법은 무엇입니까?
Instagram에서 다이렉트 메시지를 차단하는 방법은 무엇입니까?

이 계시는 치명적인 2020 Solarwinds Cyberattack 이후 소프트웨어 공급망 보안에 대한 우려가 높아지고 있습니다. 이 사건은 러시아 국가가 후원하는 해커에 기인 한이 사건은 신뢰할 수있는 소프트웨어 업데이트 메커니즘을 이용하여 여러 미국 정부 기관 및 민간 기업의 네트워크를 손상 시켰습니다. 위반은 조직이 제 3 자 소프트웨어 구성 요소를 검토하는 방법에서 근본적인 약점을 노출시켰다.

  오늘(16.05) 모든 LoLdle 답변: 그거 알아요…

미국 정부는 최근 몇 년간 소프트웨어 공급망을 확보하는 데 중점을 두었습니다. 이러한 우려는 공급망 취약점을 다루는 특정 조항과 함께 포괄적 인 사이버 보안 개선을 의무화하는 2025 년 5 월 Biden 대통령의 행정 명령에서 마무리되었습니다. 이 명령은 연방 정부에 판매 된 소프트웨어에 대한 강화 된 보안 표준을 확립했으며 사이버 사고에 대한 더 엄격한보고 요구 사항을 만들었습니다.

Nakasone은 현재의 위협이 최고 수준의 정부에서“매우 심각하게”고려되는 것으로 묘사했습니다. 사이버 명령은 민간 부문 파트너와 광범위하게 협력하여 이식 된 악성 코드를 식별하고 중화시킵니다. “우리는 민간 부문의 파트너와 긴밀히 협력하여이를 식별 할 수 있습니다.”

장군은 특히 미국 소프트웨어 공급망 주변의 강화 보호 조치를 요구했으며, 정교한 국가 국가 행위자들에 대해 불충분 한 현재 보호 수단을 표시했습니다. 그는 Adversaries가 현대 소프트웨어 개발의 상호 연결된 특성을 악용한다고 언급했으며, 여기서 오픈 소스 구성 요소는 철저한 보안 검사없이 상용 제품 및 정부 시스템에 정기적으로 통합됩니다.

  Mistral의 다음으로 AI 지배력을 위해 10 억 달러 규모의 플레이를 움직입니다

Nakasone은 일방적 인 행동이 충분하지 않다는 점을 강조하면서 도전을 세계적으로 전 세계적으로 구성했습니다. “이것은 세계적인 도전이며, 우리는이를 해결하기 위해 함께 노력해야합니다.” 중국과 러시아의 참여는 국제 사이버 보안 정책과 정보 공유를 조정하는 사이버 적들 사이의 전략적 수렴을 나타냅니다.

보안 분석가들은 오픈 소스 타협이 적대 국가의 힘을 다하면서 단일 지점 취약점을 통해 수천 개의 조직을 동시에 타겟팅 할 수 있다고 지적합니다. 개별 네트워크 침투가 필요한 기존의 사이버 공격과 달리, 중독 된 소프트웨어 구성 요소는 일상적인 업데이트 중에 모든 사용자에게 맬웨어를 자동으로 배포 할 수 있습니다.

이 경고는 손상된 개발 도구 및 소프트웨어 종속성을 통해 탐지하기 오래 전에 공격이 점점 더 발생하는 사이버 전쟁의 진화하는 특성을 강조합니다. 사이버 보안 전문가들은 이러한 전술이 소프트웨어 생태계 내에서“사전 위치”로 전략적 전환을 반영하여 향후 파괴적인 운영을 가능하게한다는 것을 관찰합니다.

연방 기관은 강화 된 코드 서명 요구 사항 및 SBOM (Software of Materials) 구현을 포함하여 소프트웨어 무결성을 검증하기위한 새로운 프레임 워크를 개발하고 있다고한다. 행정부는 또한 오픈 소스 관리자가 개선 된 보안 관행을 채택 할 수있는 인센티브를 고려하고 있으며, 중요한 인프라에서 광범위한 배치에도 불구하고 많은 중요한 프로젝트가 제한된 자원으로 운영되고 있음을 인정하고 있습니다.

  그래픽 아티스트는 만화책에서 AI 생성 이미지에 대한 저작권 보호를 상실합니다.

미국의 디지털 기초에 대한 위협이 계속 발전함에 따라, 증언은 정교한 국가 국가 위협에 대한 점점 더 복잡한 소프트웨어 공급망 환경을 확보하려는 정부, 민간 부문 및 국제적 노력에 대한 포괄적 인 전략에 대한 긴급한 필요성을 강조합니다.

Source: 국방부 : 외국 적의 공격중인 오픈 소스 소프트웨어