이만희 한남대 교수가 24일 서울 서초구 더케이호텔에서 열린 '넷섹(NetSec)-KR 2024' 무대에 올라 공급망 보안을 주제로 발표하고 있다.

[디지털데일리 김보민기자] "자동차 백미러(Back Mirror·후방을 보기 위한 거울)에는 '사물이 보이는 것보다 가까이 있다"는 말이 적혀 있습니다. 공급망 위협도 마찬가지입니다. 이제 공급망을 겨냥한 공격은 오늘, 내일, 모레, 사실상 언제든 일어날 수 있습니다."

이만희 한남대학교 교수는 24일 서울 서초구 더케이호텔에서 열린 정보보호 콘퍼런스 '넷섹(NetSec)-KR 2024' 무대에 올라 이렇게 밝혔다. 공급망을 겨냥한 공격이 매해 급증하고 있는 만큼, 국가 차원에서 보안 태세를 갖출 필요가 커졌다는 취지다.

현재 공급망 보안을 법제 및 제도화하는 데 속도를 올리고 있는 대표적인 곳은 미국과 유럽연합(EU)이다. 한국 또한 소프트웨어공급망자재명세서(SBOM) 시범 사업을 추진하거나 관련 가이드라인을 마련하며 흐름에 동참했지만 아직 갈 길이 멀다는 지적도 나온다.

◆ '연방SW' 고삐 죄는 미국…유럽은 '모든 디지털제품' 감시

이날 이 교수는 세션 발표를 통해 전 세계에서 공급망 보안이 이슈로 떠올랐다고 강조했다. 그는 "2020년 이후 공급망 공격이 연 742% 증가한다는 보고가 있고, 최근 66%가 공급자 코드를 대상으로 공격이 가해진다는 분석이 나왔다"고 말했다.

공급망 공격이 점차 늘 수밖에 없는 이유로는 ▲높은 오픈소스 의존도 ▲오픈소스 상호 의존도 ▲오픈소스 취약점 등 세 가지를 꼽았다. 이 교수는 이러한 분위기 속 특히 소프트웨어(SW) 공급망에 대한 관심이 뜨거워지고 있다며 "SW 생애주기에 투입되는 자원과 과정(프로세스)에 대한 취약점, 그리고 악의적인 행위를 예방하고 조치하는 과정이 중요해졌다"고 설명했다.

현재 미국과 EU는 공급망 공격을 예방하고, 사후 관리를 체계적으로 운영하기 위해 법제 및 제도화에 속도를 올리고 있다.

미국의 경우 연방정부 차원에서 오픈소스 활용을 증대하기 위해 공식 행정명령을 발의했다. 대표적으로 대통령 행정명령(14028)이 있는데, 여기에는 SW 공급망 보안을 강화하자는 내용이 핵심으로 다뤄졌다. 개발자를 위한 보안 가이드를 마련하고 사이버 보안에 대한 공급망 위협 요인을 관리할 방안을 세우는 것이 골자였다. 최근 보안업계 최대 화두로 떠오른 SBOM에 대한 이야기도 담겼다.

SBOM은 SW 구성요소를 식별할 수 있도록 돕는 일종의 명세서다. SW 구성요소 간 관계, 오픈소스 및 외부 서비스 융합 방식 등을 모두 포괄해 보여주기 때문에 취약점이 발생했을 때 빠른 대응이 가능하다. 미국 통신정보관리청(NTIA)는 공급자명, 컴포넌트 버전, 종속성 관계, 타임스탬프 등 최소 속성을 담은 SBOM 요인을 발표하기도 했다. 미국은 올해 연방정부가 도입하는 SW에 대한 공급망 보안을 필수화할 방침이다.

EU도 사이버복원력법(Cyber Resilience Act·CRA)을 중심으로 법제화에 속도를 올리고 있다. CRA는 올해 법제화 절차를 거쳐 2026년, 늦어도 2027년 시행될 전망이다. 이 교수는 "미국은 연방정부에 납품되는 SW에만 보안을 강제한다면, EU는 경제자유지역에 파는 모든 디지털 제품에 적용한다는 점에 차이가 있다"며 "EU 정책이 더욱 강력하다고 볼 수 있다"고 평가했다.

김성훈 한국인터넷진흥원(KISA) 책임연구원이 24일 서울 서초구 더케이호텔에서 열린 '넷섹(NetSec)-KR 2024' 무대에 올라 SBOM 실증 사업 성과를 소개하고 있다.

◆ 한국도 '공급망 공격 지대'…"단일 진단 도구로 충분치 않아"

한국도 공급망 공격에서 자유롭지 않다. 사이버 위협이 고도화되면서 SW는 물론 정보기술(IT)이 투입되는 전 영역에서 피해 사례가 늘어나고 있는 상황이다.

이에 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)은 지난해를 기점으로 SW 공급망 보안 영역에서 대응 체계를 운영하기 시작했다. 이날 발표자로 나온 김성훈 KISA 책임연구원은 "SW 공급망에 참여하는 이해관계자, 제조사, 이용 기업을 비롯해 유통 및 오픈소스 관련 전문가가 함께 이슈를 논의할 수 있는 포럼을 운영하고 있다"며 "아울러 올해 3월과 4월 SW 기업 간담회와 가이드라인 간담회를 통해 공급망 보안 필요성을 공유하고 있다"고 말했다.

지난해 말에는 SBOM 실증 사업을 추진했다. 실증 사업은 SW 개발 기업과 협업을 기반으로 SBOM을 생성하고 활용하는 방법을 찾는 데 집중했다.

그 결과 SBOM을 효과적으로 운영하기 위해 전 생애주기를 관리하는 체계가 필요하다는 결론이 나왔다. 김 연구원은 "단일 SW를 대상으로 국내 진단 도구를 통해 SBOM을 출력하고 취약점을 탐지한 결과, 같은 결괏값이 나오지 않는다는 점을 확인할 수 있었다"며 "하나보다는 두 개 이상 진단 도구로 SBOM을 출력하는 것이 바람직하다는 의미"라고 설명했다.

이어 "운영 단계에서만 SW SBOM을 뽑는 것도 옳지 않다"며 "개발, 유통, 운영 등 모든 단계에서 관리하는 게 더욱 효율적이라 볼 수 있다"고 부연했다.

다만 미국과 EU 등에 비해 속도가 턱없이 느리다는 지적도 나온다. 이와 관련해 김 연구원은 "다양한 분야에서 보안 실증을 하고, 유효성을 검증 및 분석하는 방법을 개발해 산업에 공유할 수 있도록 할 것"이라며 "정부가 적극 지원할 수 있는 방안도 마련하겠다"고 강조했다.