코드 서명: 오늘날의 과제

응용 프로그램 소프트웨어는 다른 디지털 자산과 마찬가지로 위변조에 취약합니다. 시판 제품으로 패키징되어 있거나 자체 개발 한 사용자 응용 프로그램을 불문하고 소프트웨어에 대한 APT (Advanced Persistent Threats : 지속적인 표적 공격) 위협은 증가하고 있습니다. 공격자는 해당 소프트웨어를 불법으로 변경하여 고객 기록이나 지적 재산권과 중요한 데이터를 훔치고 있습니다. 악성 코드에 감염된 소프트웨어로 부터 사업, 브랜드, 파트너 및 사용자를 보호하기 위해 소프트웨어 개발자는 코드 서명이라는 기술을 채용하고 있습니다 . 공개키 암호화가 적용되는 코드 서명은 인증서 기반의 디지털 서명의 특수한 사용법이며 소프트웨어 게시자의 신원을 확인하고 소프트웨어 게시 후 수정되지 않은 것을 증명할 수 있도록 합니다. 그러나 코드 서명을 신뢰할 수 있는 소프트웨어를 식별하는 효과적인 방법으로 사용하기 위해서는 코드 서명 과정 자체가 안전한 것이어야 합니다. 감염 코드를 은폐하기 위해 공격자가 위조 코드 서명을 사용하는 것을 방지하려면 이 디지털 서명 생성 프로세스를 보호하기 위한 수단을 강구하여야 합니다. 여러 가지 이유로 비즈니스 애플리케이션의 신용을 구축하는 과정은 점점 어려워지고 있습니다. 

  • 가상화는 유연성이 촉진되면서 응용 프로그램의 동적 배포 및 디-프로비저닝 따른 무결성 평가의 필요성이 증가하고 있습니다.
  • 클라우드 기반 서비스의 확산, 소프트웨어 개발자는 최소한의 제어 밖에 할 수 없는 클라우드 환경에서 소프트웨어가 실행되게 되었기 때문에, 소프트웨어의 무결성을 별도 보장해야 합니다.
  • APT의 증가에 따라 소프트웨어 제작자는 높은 보증이있는 코드 서명 프로세스를 구축해야 합니다. 이러한 과정에서 국가/지역적인 표준과 보안 인증 요구 사항을 충족해야 하는 경우도 있습니다.
  • 스마트폰과 태블릿의 혁명 '앱 스토어 경제권'의 출현 및 지능적으로 연결되는 장치의 확장 등을 통해 신뢰할 수 없는 위치에서 또한 안전하지 않은 장치에서 실행되는 비즈니스 로직의 비율이 증가하고 있습니다.

코드 서명과 관련된 위험 요소

  • APT는 고객 정보 나 지적 재산을 훔치기 위해 당신의 소프트웨어를 제어할 수 있습니다.
  • 보안이 불충분 한 코드 서명은 잘못된 안전 인식 (안전하다는 착각)을 관리자에게 제공하고 공격자에 그 흔적을 숨기는 틈을 주는 결과가 됩니다.
  • 위조 코드 서명이 미치는 영향의 범위는 매우 넓고, 소프트웨어 위변조의 단발적인 공격의 경우보다 큰 손해를 기업의 명성과 사업에 미칠 수 있습니다.
  • 너무 귀찮은 코드 서명 프로세스는 귀중한 기술적 자원을 불필요하게 구속하고 비용을 증가시킬 수 있습니다.

코드 서명: Thales e-Security 솔루션

모든 규모의 소프트웨어 공급 업체와 자사 코드를 개발하는 기업을 위해 설계된 탈레스 코드 서명 솔루션은 보증할 수 있는 효율적인 코드 서명 프로세스를 구현하여 위변조에서 소프트웨어를 보호하고 소프트웨어 배포 작업을 적절하게 관리하는 것을 허용하는 포괄적인 솔루션입니다. 탈레스 코드 서명 솔루션은 자동으로 요청 / 승인 워크플로워를 포함하여 사용자의 운영 요구에 적합한 다양한 승인 시나리오에 대응하고 코드 서명 모범 사례와 주의해야 할 새로운 표준에 대한 Thales e-Security의 다양한 전문적인 지식과 기술을 바탕으로 하고 있습니다. 하드웨어 보안 모듈은 변조 방지 코드 서명용 개인 키에 대해 인증된 보호 기능과 중요한 디지털 서명 프로세스가 실행되는 보안 플랫폼을 제공합니다.

장점:

  • 소프트웨어 위변도에 따른 잠재적인 위험으로부터, 기업, 파트너 및 사용자를 보호합니다.
  • 다양한 조직의 규모와 범위에 맞는 보안 코드 서명 프로세스를 신속하게 구현합니다.
  • 변조 방지 기능을 가진 하드웨어 기반의 솔루션을 통해 최상의 보안을 제공합니다.
  • 워크플로워 자동화 기능을 사용하여 코드 서명 프로세스의 단순화와 합리화를 실현합니다.
  • 코드 서명 모범 사례 전문가들과 협력하여 위험을 줄일 수 있습니다.
  • 규정 준수 및 새롭게 추가되는 기준에 대한 요구 사항을 충족시킬 수 있도록 솔루션 확장이 가능합니다.