[디지털데일리 김보민기자] 정부가 소프트웨어구성요소명세서(SBOM) 요건을 담은 가이드라인을 공개한 가운데, 전문가 사이에서 보안 인식 개선이 병행돼야 한다는 의견이 나왔다. 소프트웨어(SW) 공급망 보안에 대한 중요성을 각인시키기 위해 추후 산업별 특화 가이드라인이 나올 수 있다는 전망도 제기된다.

29일 과학기술정보통신부(이하 과기정통부)는 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA)과 함께 '2024년도 제1차 SW 공급망 보안 포럼'을 개최했다. 현장에는 정은수 과기정통부 정보보호산업과장을 비롯해 학계 및 업계 관계자들이 참석했다.

무대에 오른 발표자들은 이달 12일 정부가 공개한 'SW 공급망 보안 가이드라인 1.0'을 소개했다. 과기정통부, 국가정보원(이하 국정원), 디지털플랫폼정보위원회가 마련한 이 가이드라인은 ▲SW 공급망 보안 필요성 ▲주요국 정책 동향 ▲SW 공급망 위험관리 방안 ▲SBOM 기반 SW 공급망 강화 방안 등 주요 내용을 담았다.

이날 현장을 달군 주제는 SBOM이었다. SBOM은 기업이 개발했거나 사용하고 있는 SW에 어떤 구성요소가 적용됐는지 보여주는 명세서다. SW 구성요소 간 관계, 오픈소스 및 외부 서비스 융합 방식 등을 포괄해 보여주기 때문에 보안 취약점이 발생했을 때 빠른 대응이 가능하다.

최윤성 고려대학교 교수는 "SBOM은 기업이 책임져야 하는 SW 영역과 책임지지 않아도 되는 관리 영역을 구분하는 역할을 한다"며 "과거부터 보안을 강화하려면 자산 식별이 우선이라는 이야기가 나왔는데, SBOM을 통해 어느 정도 구현이 가능하다"고 진단했다.

그러나 아직까지 기업들 사이에서는 SBOM과 공급망 보안 필요성을 체감하지 못하겠다는 말도 나온다. 사용하는 구성요소를 명세서처럼 다른 기업에 제출해야 할 경우, 기밀이 외부로 유출되는 것이 아니냐는 우려도 제기된다. 규모가 작은 중소기업에서는 SBOM 자체가 생소하다는 의견과, 초기 투자 비용과 인력이 부족해 SW 공급망 보안에 당장 집중하기 어렵다는 목소리가 나온다.

그러나 솔라윈즈, 로그4J, XZ유틸즈 등 공급망을 겨냥한 공격이 활개치고 있는 만큼 공급망 보안에 소홀히 하면 안 되는 때가 왔다는 해석도 나온다. 이와 관련해 최 교수는 "앞으로는 소프트웨어 보안, 개발자 보안에 대한 인식이 확장되는 것이 중요하다"고 강조했다.

특히 미국을 중심으로 SW 공급망에 대한 납품 기준이 까다로워지고 있어, 해외 수출과 글로벌 사업을 펼치는 데 SBOM은 '선택 아닌 필수'가 될 전망이다. 미국은 연방정부 납품 SW 보안 강화를 위한 지침 준수와 더불어 자체 증명 제출을 앞두고 있고, 식품의약청(FDA)의 경우 의료기기 시장에 진출하는 데 SBOM 제출을 요구하고 있다.

최 교수는 "글로벌 SW 생태계에서 우리는 제3자 정신(마인드)를 가져야 한다"며 "요구받는 부분이 크기 때문에 미리 연습을 한다는 생각으로 안전한 SW 개발 환경에 대한 인식과 활동을 늘려갈 시점"이라고 말했다. 이어 "자동화된 취약점 관리와 제3자 위험 관리를 확장해야 하는데, 우리는 지금 그 시작점에 있다"고 밝혔다.

정부는 SBOM 제도화 과정에서 중소기업들이 자체 SW 공급망 보안 역량을 갖출 수 있도록 지원하고 있다. 대표적으로 판교 '기업지원허브'와 '국가사이버안보협력센터 기술공유실', 원주 '디지털헬스케어 보안 리빙랩'에서 SW 보안취약점 점검 지원 테스트베드를 운영 중이다. 다만 테스트베드 운영 존재를 모르는 기업도 많아 이번 가이드라인을 통해 추가적인 홍보가 필요한 상황이다.

정부는 이번 가이드라인이 SW 공급망 보안과 SBOM에 대한 거시적인 정의를 담는 데 집중한 만큼 추후 업계 흐름을 반영한 새 안내서를 마련할 방침이다. 정은수 과기정통부 정보보호산업과장은 "미국, 유럽 등 주요 국가 정책에 대응하고, 의견을 반영해 가이드라인을 보수하고, 실증 사업도 추진할 것"이라며 "다음 단계에서는 필요시 산업 영역별로 가이드라인을 만들고 세부 사항을 구체화하는 방안을 검토할 계획"이라고 밝혔다.