[디지털데일리 오병훈 기자] 대통령 직속 기관 디지털플랫폼정부위원회가 모든 정부 사이트에 사용 가능한 범용 아이디 ‘애니아이디(any ID)’ 보안 강화 작업에 속도를 낸다.

최충호 디지털플랫폼정부위원회(이하 디플정위) 과장은 11일 양재 aT센터에서 한국정보보호학회 주최로 개최된 ‘2024년도 공급망보안 워크숍’에서 ‘디지털정부플랫폼 서비스 에스밤(SBOM) 적용방향’에 대해 발표했다.

최 과장은 “디플정위는 디지털플랫폼정부(DPG) 시스템이 다양한 공공 소프트웨어(SW) 통합 구축을 목적으로 하는 만큼, 공급망보안이 중요하다”며 “DPG 시스템의 아웃소싱 개발 후 운영 과정에 SBOM 적용 체계 구축이 마무리되고 있다”고 말했다.

디플정위는 아웃소싱 개발 과정에서 외부 소스코드에 의한 보안 취약점을 체계적으로 관리하기 위해 SW 자재명세서인 SBOM을 적용한다. SBOM은 개발자들이 SW를 개발하는 과정에서 사용된 자체 개발 코드, 오픈소스 등을 가시적으로 명시하는 일종의 ‘성분표기’ 같은 역할을 한다. 지난 5월10일 과학기술정보통신부를 비롯한 디플정위, 국가정보원은 SBOM 적용을 골자로 하는 ‘SW 공급망보안 가이드라인 1.0’을 제정했다.

최 과장은 “현재 진행 중인 상황으로는 정부 사이트 통합 아이디인 애니아이디에 대한 SBOM 적용 체계 구축 등이 있는데 시간이 많이 소요되고 있는 상황”이라며 “국가 기관 사이트이다 보니, 국정원 등에서 진행하는 보안 검증 수위가 높기 때문”이라고 전했다.

이어 “2만여개 사이트 데이터가 연계되기 때문에 공격을 당할 경우 치명적”이라며 “애니아이디 계정이 하나가 공격을 당하면, 나머지 사이트에서도 데이터가 유출되는 등 위험이 있다”고 덧붙였다.

아울러 디플정위는 정부부처사이트 이용자경험(UX) 및 인터페이스(UI) 구성에 필요한 HTML, CSS 등 소스코드에도 SBOM을 적용할 계획이었다. 다만, 단순한 HTML, CSS 코드 특성상 SBOM을 적용하는 것은 부적합하다는 결론을 내렸다.

그는 SW공급망보안 가이드라인 개정 계획에 대해서도 언급했다. 가이드라인에는 보안체크리스트가 포함됐는데, 시스템통합(SI)과 관련된 체크리스트 등을 추가해 보다 촘촘하게 보완할 필요가 있다는 설명이다.

마지막으로 최 과장은 “향후 개정 가이드라인2.0에 이 같은 보완점을 반영할 계획”이라고 전했다.