쿤텍이 한국전자통신연구원(ETRI)와 함께 하드웨어 공급망 보안 기술을 개발한다고 밝혔다. 쿤텍은 펌웨어 분석 기술을 기반으로 자재명세서(BoM) 추출·분석, 취약점 자동 탐지 기술을 추가 개발할 계획이다.

기술 구현을 위해 구성되는 하드웨어가 복잡해지고 각 하드웨어 개발에 관여하는 공급업체가 증가하면서 공급망 전반의 보안검증이 중요해졌다.

특히 TCP/IP 소프트웨어 라이브러리에 내재된 취약점인 리플20과 같이 알려진 취약점이 복잡한 공급망을 통해 다양한 산업 분야에서 광범위하게 악용될 수 있지만, 취약점의 영향을 받는 자산의 식별이 어려워 보안 위험을 높인다. 

이러한 어려움 해소를 위해 쿤텍은 ETRI와 협력해 하드웨어·소프트웨어의 구성 요소 목록인 BoM 분석을 기반으로 취약점을 자동 점검하는 기술 개발을 추진하게 됐다고 배경을 설명했다.

양사는 하드웨어에 내재된 취약점을 분석해 5G 장비 보안을 강화할 수 있는 기존의 펌웨어 분석 기술을 고도화해 하드웨어에 대한 BoM 식별 및 분석 기능을 강화하고, CVE 취약점을 자동 탐지할 수 있는 분석 기술을 추가로 결합해 하드웨어 공급망 보안을 강화할 계획이다.

이를 통해 다양한 취약점을 신속하고 정확하게 점검할 수 있어 광범위한 사이버 공격으로 인한 피해 확산을 사전 차단할 수 있다.

쿤텍이 새롭게 개발하는 취약점 탐지 자동화 도구는 하드웨어 펌웨어를 기반으로 BoM을 검출할 수 있도록 설계돼 소스코드 없이도 다양한 바이너리 소프트웨어, OS, 플랫폼에 맞춰 보안 취약점을 분석할 수 있는 점이 특징이다.

오픈소스의 구성 요소와 관련된 정보를 자동 수집하고, 미국 국립표준기술연구소(NIST)와의 API 연동 기능을 제공해 실시간으로 게시되는 취약점 정보를 확인·분석할 수 있다.

공동연구기관인 ETRI의 최병철 실장은 “기존의 펌웨어 분석 기술로는 전체 하드웨어에 대한 공급망 분석과 취약점 점검 지원이 부족했다”며 “이번 기술 개발을 통해 하드웨어 BoM에 대한 지속적인 모니터링을 수행할 수 있어 끊임없이 변화하는 보안 위협에 대한 대응력을 높여 하드웨어 뿐만 아니라 소프트웨어 공급망의 보안 경쟁력을 확보할 수 있을 것”이라고 전했다.