법제도/정책

[취재수첩] 제도화 시작한 美 SW 공급망 보안, 한국은 왜 기다릴까?

최민지 기자
보안 이미지 [ⓒ픽사베이]
보안 이미지 [ⓒ픽사베이]

[디지털데일리 최민지기자] 소프트웨어(SW) 취약점을 노린 해커들 공격으로 미국 연방정부와 민간기업 데이터가 유출 당한 2020년 ‘솔라윈즈 해킹 사건’ 후, 경악한 미 정부는 SW 공급망 보안을 강화하는 제도를 마련하기 시작했다.

2021년 5월 행정명령(EO 14028)을 통해 연방정부에 납품되는 SW의 SW구성요소명세서(SBOM) 제출을 발표했고, 올해 3월엔 이를 보완하는 보안관리 자체증명서(Self Attestation Form)를 확정했다. 지난해 10월 식품의약국(FDA)은 디지털 헬스케어 제품에 대해 SBOM 제출을 명령하기도 했다.

얼마전(6월8일)부터 미국은 연방정부에 납품하는 ‘크리티컬 SW’에 대해 보안관리 자체증명서 등을 수집하고 있다. 오는 9월부터는 모든 SW로 확대된다는 설명이다. 크리티컬 SW는 일반 SW보다 더 많은 권한을 갖는 SW를 뜻하는데, 대표적으로 방화벽‧패스워드 장치‧모니터링 시스템 등 보안 장비를 예로 들 수 있다. 아직 미 연방정부에 납품하는 국내 보안기업 제품은 없다시피 하기에, 국내 보안산업에 아직 큰 타격은 없을 것으로 보인다.

국내 산업에 더 큰 문제로 다가오는 것은 오히려 유럽연합(EU) 정책이다. 2027년 시행할 것으로 전망되는 EU 사이버복원력법(Cyber Resilience Act·CRA)에서는 SBOM 작성, 취약점 및 구성요소 식별‧문서화, 수정된 취약점 공개 등을 요구하고 있다. 이를 어길 경우, 전세계 연간 매출액 2.5% 또는 한화로 약 200억원이 넘는 214억원 중 높은 금액을 과징금으로 부과받게 된다. 국내 SW 기업뿐 아니라, 자동차‧전자 등 SW가 포함되는 모든 산업이 CRA를 주시하고 있는 이유다.

전세계 동향이 이러한데, 한국도 하루빨리 SW 공급망 보안 제도화를 해야 한다는 목소리가 나온다. 정부도 필요성을 인지하고 있기에, 가이드라인을 발표하는 등의 활동을 하고 있다. 다만, 빠른 제도화만이 능사가 아니라는 것도 알고 있다.

이만희 한남대학교 교수는 <디지털데일리>와 통화에서 “삼성전자와 현대‧기아차 등은 해외 수출을 하는 글로벌 기업인 만큼, 소프트웨어 공급망 보안을 앞서 준비해 왔다. 그러나 중소 기업들은 비용적 부담을 느끼고 있어 어려운 것이 현실”이라며 “이들 대기업들은 외산 솔루션을 사용하고 있는 것으로 알고 있다”고 설명했다.

수출에 주력하는 국내 굴지 대기업들은 자력으로 SW 공급망 보안 추세에 대응하고 있지만, 중소기업들은 솔루션‧인력 문제로 쉽게 도입하기 어려운 상황이다. 도입하려고 해도, 아직은 외산 솔루션 중심 시장이기에 중소기업 입장에선 가격적 부담을 크게 느끼고 있다.

섣불리 제도화에 나섰다가, 중소기업 부담을 키우고 국내 SW 공급망 보안 솔루션 시장을 외산 중심으로 재편할 수 있다는 우려다. 이에 국내 기업들이 SW 공급망 보안 솔루션을 활발히 개발하고, 프로세스를 정립할 수 있는 시간을 줘야 한다는 것이다. 그렇다고, 외산 솔루션을 무작정 배척할 수만은 없는 노릇이다.

결론적으로, 국내 보안업계와 정부의 합심이 필요하다. 국내 보안업계는 앞장서 SW 공급망 보안 시장을 새 기회로 삼고 관련 솔루션 연구개발에 전념하고, 정부는 SW 공급망 보안 정책 연착륙 지원정책을 적극 펼쳐야 한다. 사이버안보 강화와 기업 발전을 모두 도모하기를 바란다.

최민지 기자
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널