보안

주요국 SW공급망 보안 빨라지는데…'오픈소스' 여전한 숙제

김보민 기자

[ⓒ픽사베이]

[디지털데일리 김보민기자] 한국을 비롯한 주요국에서 소프트웨어(SW)공급망을 보호하려는 움직임이 빨라지면서, 오픈소스 보안에 대한 관심이 커지고 있다. 다만 오픈소스 특성상 일반 시장 논리를 따르지 않기 때문에 세부 관리체계를 세우는 데 시간이 걸리는 분위기다.

4일 관련 업계에 따르면 주요국은 SW공급망 보안을 강화하기 위해 제도화 작업에 뛰어들었다. 유럽연합(EU)과 미국이 대표적인 예다.

EU는 역내 유통되는 디지털기기의 소프트웨어구성요소명세서(SBOM) 제출을 의무화하는 사이버복원력법(CRA) 제정안을 2022년 마련했다. 사이버보안 적합성 평가를 시행하고 CE마크 부착 여부를 결정할 때, 기술 문서로 제출된 SBOM 내용을 보겠다는 게 핵심이다.

SBOM은 SW공급망 보안을 실현할 재료로 거론되고 있다. SBOM은 기업이 개발했거나 사용하는 SW에 어떤 구성요소가 있는지 보여주는 일종의 '명세서' 역할을 한다. SW 구성요소 간 관계와 외부 서비스 융합 여부 등을 보여주기 때문에 보안 위협이 발생했을 때 빠른 대응이 가능하다.

미국도 속도를 올리고 있다. 바이든 정부는 2021년 행정명령으로 연방정부에 SW공급망 보안 관리를 의무화했다. 2022년에는 '안전한 정부를 위한 SW공급망 보안 강화 지침', '행정부서 및 기관장을 위한 각서'를 발표하며 선도적인 행보를 보이기도 했다.

올 3월에는 보안관리자체증명서(Self Attestation Form)를 확정 발표했다. 그러나 현지 전문가들 사이에서는 오픈소스에 대한 항목이 생략됐다는 평가가 나왔다. 단순 서면 증명만 거치면 사이버 위험을 관리할 수 있는 것이냐는 비판이 제기되기도 했다.

오픈소스는 SW공급망 보안을 이야기할 때 빼놓을 수 없는 키워드다. 개인이나 기업이 온라인 사이트에 '공헌' 성격으로 소스코드나 SW를 올리면, 수요자가 무료로 받아쓰는 개념이기에 그만큼 보안에 대한 우려가 제기돼 왔다. 보안 검토를 거치지 않고 서비스나 제품에 적용할 경우 2차, 3차 피해 가능성도 배제할 수 없다.

다만 SW공급망은 시장 경제 논리를 기반으로 운영돼 오픈소스와 성격이 다르다. 오픈소스에 대한 세부 관리체계를 마련하기가 쉽지 않다는 뜻이다. 오픈소스를 비롯해 공급망 세부 내역을 SBOM 형식으로 공개해야 하는 것에 부담을 느끼는 기업도 있다. 정부 입장에서는 기업이 제출한 자료를 관리할 수 있는 시스템을 먼저 갖춰야 한다는 과제가 있다. 해묵은 현장 상황이 오픈소스에 대한 세부 논의를 늦추고 있는 셈이다.

한국도 마찬가지다. 국내의 경우 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회를 필두로 민관 협력을 거쳐 'SW공급망 보안 가이드라인 1.0'을 공개했다. 개발사, 유통사, 운영사 역할을 명시하는 데 초점을 뒀는데 SBOM에 대한 기본 내용과 실증 사례를 소개하기도 했다. 다만 아직 개념적 측면에 그쳐 오픈소스를 비롯해 세부적인 이야기는 추후 보완을 거쳐 완성될 전망이다.

특히 한국은 자체 개발과 더불어 해외에서 만든 오픈소스를 끌어 쓰는 일이 잦아, SW공급망에 대한 해외 제도화 작업에 따른 대응방안이 필요한 상황이다. 오픈소스를 비롯해 SW 활용 내용을 투명하게 공개해야 한다는 부담도 커지고 있는 만큼, 제도화를 논하기 전 시장 성숙도가 무르익어야 하는 과제도 마주하고 있다.

이번 가이드라인 집필에 참여한 최윤성 고려대학교 교수는 "(SW공급망에 있어) 투명성과 보안성을 분리해 고민을 해야 한다"고 말했다. 공급망 투명성을 높여 기존 취지를 실현하되, 민관 차원에서 보안 체계를 강화하는 작업이 동반돼야 한다는 것이다. 최 교수는 "투명성만으로는 제도화를 하기 어렵고, 보안 기능을 더해 방향성을 잡는 것이 중요하다"며 "한국에서는 SBOM 자체가 규제 기술로는 성숙도가 부족한 만큼, 방향성을 갖고 빠르게 움직여야 한다"고 강조했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널