저전력 무선 연결 솔루션 분야의 글로벌 리더인 노르딕 세미컨덕터(Nordic Semiconductor)는 nRF 클라우드(nRF Cloud)에 펌웨어 취약점 스캔(Firmware Vulnerability Scanning) 기능을 추가하여 기기 제조업체들이 EU 사이버 복원력법(Cyber Resilience Act, CRA)에 보다 효과적으로 대응할 수 있도록 지원 역량을 강화할 방침이라고 밝혔다.
개발자들은 소프트웨어 구성요소 목록(Software Bill of Materials, SBOM)을 nRF 클라우드에 업로드하고, nRF 클라우드의 펌웨어 취약점 스캔 기능을 이용해 SBOM에 존재하는 공통 취약점 및 노출(Common Vulnerabilities and Exposures, CVE)을 자동으로 식별할 수 있다. 또한, nRF 클라우드와 연결된 운영 중인 전체 기기를 대상으로 이러한 취약점에 얼마나 노출되어 있는지 분석할 수 있다.
nRF 클라우드의 새로운 기능은 기기 제조업체들이 자체적으로 CVE 식별 시스템을 구축 및 유지 관리할 필요 없이 사이버 복원력법의 취약점 모니터링 요건을 충족할 수 있도록 설계되었다. 또한, 이 기능은 nRF 클라우드의 FOTA(Firmware Over-the-Air) 서비스와 연동되어 동작하기 때문에 현장에 구축된 기기에 대규모로 업데이트를 배포할 수 있다.
사이버 복원력법은 커넥티드 기기의 전체 수명주기 동안 보안이 유지되도록 규정하고 있다. 기기의 수명주기는 수년에 걸쳐 지속될 수 있기 때문에 기기가 구축된 이후에도 계속해서 규정 준수 작업이 이어져야 한다.
개발자들은 nRF 클라우드의 취약점 탐지 및 FOTA 기능을 활용하여 효과적으로 사이버 복원력법 규정 준수에 대응하고, 혁신적인 제품 개발에 더욱 집중할 수 있다. 이를 통해 제품 출시 기간을 단축하고, 제품이 출시된 이후에도 제한된 리소스를 효율적으로 활용하여 규정 준수 의무를 지속적으로 이행할 수 있다.
nRF 클라우드의 새로운 펌웨어 취약점 스캔 기능은 개발자들이 각 소프트웨어 버전의 SBOM을 업로드하면, 자동으로 해당 SBOM을 지속적으로 스캔할 수 있다.
이 서비스를 이용하면, 실제 구축된 기기 중 식별된 각 취약점에 노출된 기기의 수를 정확하게 파악할 수 있다. 또한, 이러한 노출 데이터를 통해 보다 확신을 가지고 보안 조치의 우선순위를 결정할 수 있으며, 보안 패치가 기기에 배포되는 과정에서 취약점 조치 현황을 실시간으로 모니터링할 수 있다.
기기 제조업체들은 nRF 클라우드의 기존 FOTA 업데이트 기능과 새롭게 추가된 펌웨어 취약점 스캔 기능을 이용해 보안 취약점 식별, 보안 패치 배포 및 취약점 해결 확인에 이르기까지 전 과정을 완벽한 감사 추적(Audit Trail) 기능을 갖춘 단일 시스템에서 처리할 수 있다.
또한, 전체 기기를 대상으로 보안 패치가 배포되는 과정에서 실시간으로 취약점 조치 현황을 모니터링할 수 있다. 개발자들은 이러한 nRF 클라우드의 새로운 기능을 통해 취약점 모니터링 및 보안 업데이트 제공과 관련된 사이버 복원력법의 주요 요구사항을 보다 손쉽게 충족할 수 있다.
펌웨어 취약점 스캔 기능은 향후 몇 주 안에 제공될 예정이다. 개발자들은 ‘nRF 클라우드 펌웨어 취약점 스캔 기능 웨비나’에 등록하면, 해당 기능의 정식 제공 일정과 실제 동작을 직접 확인할 수 있다. FOTA 등 다양한 기능을 제공하는 nRF 클라우드는 현재 이용 가능하며, 개발자들은 언제든지 무료 을 생성하여 플랫폼의 기능을 살펴볼 수 있다.
사이버 복원력법 요건에 대한 자세한 정보는 관련 가이드 페이지에서 확인할 수 있다.