[디지털데일리 오병훈 기자] 정부가 오는 2027년을 목표로 공공기관 소프트웨어(SW) 공급망 보안 강화를 골자로 하는 제도를 3개년에 걸쳐 마련한다. 보안 기준·대책을 제시하고, 전문인력 확보 등을 통해 체계적으로 공공SW공급망 취약점을 관리하겠다는 취지다. 정부가 SW공급망 보안 제도 시기를 특정한 로드맵을 발표한 건 이번이 처음이다.

정부 측은 지난 11일 한국정보보호학회에서 주최한 ‘2024 공급망보안 워크숍’을 통해 이번달 범정부 SW공급망보안 태스크포스(TF)를 구성하고, 올해 말까지 국가 SW공급망보안 로드맵을 수립할 예정이라고 공식화했다. 이어 2027년 SW공급망보안 제도 시행을 목표로 3개년 동안 점진적인 계획안을 마련하겠다고 밝혔다.

정부에서 2027년 제도 시행을 목표로 한 배경에는 유럽연합(EU) 사이버복원력법(Cyber Resilience Act·CRA)을 꼽을 수 있다. 2027년 시행 전망인 EU 사이버복원력법에서는 소프트웨어자재명세서(SBOM) 작성, 취약점 및 구성요소 식별‧문서화, 수정된 취약점 공개 등을 요구하고 있는데, 이를 어길 경우 전세계 연간 매출액 2.5%를 과징금으로 부과받을 수 있어 국내 기업들도 촉각을 세우고 있다.

정부가 구상하는 로드맵에는 ▲국가 공공기관 디지털 제품 구입 및 운영을 위한 공급망보안 기준과 보안 대책 마련 ▲민간 기업 사이버 보안 강화 ▲전문 인력 확보를 위한 안전한 공공망 인프라 조성 등 내용이 담길 예정이다.

정부 측 관계자는 “로드맵은 크게 국가 SW공급망보안 정책 구축 및 민간 산업화 지원 육성 방향으로 수립될 것”이라며 “로드맵 수립 과정에서 산하 전문가 의견을 수렴하는 기회를 많이 만들 계획”이라고 말했다.

이와 함께, 이날 행사에 참석한 신용석 대통령실 사이버안보비서관도 축사를 통해 정부 로드맵에 대해 언급했다.

그는 “정부는 SW공급망보안 가이드라인을 토대로 SBOM 관리 체계를 확대할 수 있도록 제도화 로드맵을 마련할 계획”이라며 “과학기술정보통신부(이하 과기정통부)와 국가정보원, 디지털플랫폼정부위원회(이하 디플정위)가 함께 공공 보안 연구 전문가 의견을 잘 듣고 정책을 반영하도록 하겠다”고 전했다.

앞서, 지난 5월 국가정보원과 과기정통부, 디플정위는 ‘SW공급망보안 가이드라인1.0’을 공개했다. SBOM은 개발 과정에서 외부 오픈소스를 통해 유입될 수 있는 보안 및 라이선스 문제(이슈)를 관리하기 위해 각 SW가 어떤 소스코드로 구성돼 있는지 가시화하는 규격화된 양식을 말한다.

SBOM 활용 체계는 개발사-공급사-운영사로 이어지는 SW공급망 고리에서 발생하는 취약점을 방어하는데 유용하다. 근래 SW 개발사와 공급사 등을 통해 공공기관이나 대기업 등을 공략하는 간접 공격이 자주 발생하는 추세다. 보안이 철저한 대규모 운영사를 공략하기보단 비교적 취약한 개발사와 공급사를 통해 무혈입성하겠다는 공격 전략이다.

이에 EU뿐 아니라 미국에서도 오는 9월부터 연방정부에 납품하는 모든 SW 대상으로 SBOM 적용 의무화를 확대하며, 전 세계적으로 SW공급망보안이 화두로 떠올랐다. 국내에서도 전문가들 사이에서 SW 관련 계약 및 협업에서 SW공급망보안을 강화하는 법 제도가 하루빨리 마련돼야 한다는 목소리가 커지고 있다.

한편, 이날 행사에는 공급망보안연구회를 이끄는 이만희 한남대 교수와 하재철 한국정보보호학회장을 비롯해 최충호 디플정위 과장, 권중한 LG전자 리더, 윤용관 나온웍스 이사 등이 참석해 SW공급망보안 관련 현황 및 제언을 전했다. 이만희 교수는 “엄중한 마음으로 최선을 다해 공급망보안 발전에 노력하겠다”며 “산학연이 모두 참여하는 SW공급망보안 교두보 역할을 공급망보안연구회가 맡겠다”고 했다.