[디지털데일리 최민지기자] 디지털 제품･서비스에서 소프트웨어(SW) 비중이 높아지고, 모든 디지털 제품과 서비스가 네트워크로 연결되고 있다. 이에 따라 SW 보안 취약점을 악용하거나, SW 공급망에 침투하여 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 고조되고 있다.

이와 관련 18일 디지털플랫폼정부위원회(위원장 고진, 이하 디플정위), 국가정보원(원장 조태용, 이하 국정원), 과학기술정보통신부(장관 이종호, 이하 과기정통부)는 한국인터넷진흥원(원장 이상중, 이하 KISA)과 서울 광화문 인근에서 ‘SW 공급망 보안 가이드라인 간담회’를 개최했다.

이날 과기정통부 강도현 2차관은 “새로운 기술의 등장, 해외 주요국가의 제도변화에 대응해 서둘러 제도를 만들기보다 국제적 변화 흐름 속에서 우리 기업들이 이에 적응할 수 있도록 지원하는 좋은 방안을 찾으려는 노력이 필요한 때”라며 “SW 공급망 보안 가이드라인이 기업활동을 저해하는 규제가 아니라 기업 자체적인 보안활동을 강화함으로써 국산 SW 품질을 높이고, 국제적인 경쟁력을 확보할 수 있는 기반이 될 수 있도록 중소기업 지원에 노력을 아끼지 않겠다”고 말했다.

이번 SW공급망 보안 가이드라인 집필에 과기정통부, 국정원, 디플정위, KISA, 고려대, 한남대, KAIST, SW공급망보안포럼, 한국정보보호산업협회(KISIA)가 참여했다. 이날 간담회에는 국정원 윤오준 3차장, 과기정통부 강도현 2차관, 디플정위 이용석 단장, 대통령실 신용석 사이버안보비서관 등 관계부처 및 정보통신(ICT), 정보보호, 정유업, 방위산업 등 다양한 산업분야 전문가들이 참석했다.

미국 및 유럽 등 주요국에서는 SBOM(SW Bill of Materials) 기반 SW 공급망 보안 제도화를 추진하고 있다. 국내 정부･공공 기관 및 민간 기업의 의사결정자 및 실무자들도 SW 공급망 보안의 개념을 쉽게 이해하고 활용할 수 있도록 지원하기 위해 이번 간담회를 마련했다는 설명이다.

이번 가이드라인은 총 4개장으로 구성돼 있다. 우선, 디지털화에 따른 공개 SW 활용 확대 등 환경변화, 주요 SW 공급망 보안 사고사례, 이에 대응하는 미국‧유럽‧일본 등 주요국의 SW 공급망 보안 제도화 추진현황을 분석했다. 이를 통해 한국도 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련･확산할 필요가 있다는 시사점을 도출했다.

또한, 안전한 SW 개발･운영을 위해 지켜야 할 개발(공급)사 및 SW 고객(운영)사 역할을 규정했다. ‘SW 공급망 참여자들의 사이버보안 및 활동 권고’와 함께 안전한 SW 개발체계(Secure Software Development Framework, SSDF) 활용방안을 제시했다. 이는 국내 SW 공급망 보안 전문가들의 연구결과를 반영한 것이다.

아울러, SW 공급망 보안에 활용되는 SBOM 국제 표준을 소개했다. 정부･공공 기관 및 민간 기업들이 활용할 수 있는 ‘SW 개발 생명주기에 따른 SBOM 관리방안’과 함께 국가적 차원의 SW 공급망 보안 관리체계도 공유했다.

과기정통부･KISA는 국내 사이버보안 전문기업들과 함께 국산 SW를 대상으로 SBOM을 생성하고, 보안 취약점을 탐지･조치하는 일련의 과정을 알기 쉽게 제시했다. 실무자들이 쉽게 활용할 수 있는 공급망 각 단계별 이용자 보안 점검항목 30개를 발표했다.

이뿐 아니라, 국내 정부･공공 기관 및 민간 기업 등의 ‘SBOM 기반 SW 공급망 보안’ 도입 지원을 위한 정부 지원상황을 알렸다. 기업지원허브(판교)와 디지털헬스케어보안리빙랩(원주)는 다양한 SW 보안 취약점 점검 지원, SBOM 기반 SW 공급망 보안 관리 지원체계를 갖추고 있다. SBOM 자동생성 도구개발 등 연구개발도 지원한다.

정부･공공에 유통될 수 있는 SW의 보안 취약점 점검 및 시험기관들의 기술지원을 위해 판교 국가사이버안보협력센터에서 테스트베드를 운영하고 있으며, 실무자들이 SBOM을 보다 편리하게 활용할 수 있도록 SBOM 최소 요구항목을 통한 보안 취약점 점검도 지원하고 있다.

국정원 윤오준 3차장은 “최근 북한의 고도화된 해킹조직에 의한 국내 국가‧공공기관 대상 공급망 위협이 심화되고 있다”며 “이번 가이드라인 발표를 계기로 산업계와 적극 소통하고 해외 국가와 협력을 강화해 국내 산업계 부담을 줄이면서도 사이버안보를 강화할 수 있는 공급망 보안 대책을 마련하겠다”고 전했다.

정부는 SW 공급망 보안 가이드라인을 KISA, NIPA 및 한국소프트웨어산업협회(KOSA), 한국정보보호산업협회(KISIA) 등 유관 단체를 통해 정부･공공기관 및 민간 기업들이 활용할 수 있도록 널리 확산할 방침이다.

디플정위 이용석 추진단장은 “지난해 발표한 디지털플랫폼정부 실현계획에 따라 정부 전용 초거대 AI를 도입하고, 클라우드 네이티브 전환 등을 추진하고 있는 상황”이라며 “안전하고 신뢰할 수 있는 디지털플랫폼정부 구현을 위해 시스템 구축 시 SBOM을 시범적으로 활용해 모범사례를 만들고, 나아가 안전한 SW 생태계가 공공부문에 안착될 수 있도록 노력하겠다”고 강조했다.