[디지털데일리 김보민기자] 정부가 약 3년 뒤 소프트웨어(SW)공급망보안 제도를 시행하겠다는 목표를 추진하는 가운데, 소프트웨어자재명세서(SBOM) 제출에 대한 세부 범위가 정해질지 관심이 주목된다.

민간에서는 기업과 기업 간 거래에서 SBOM 제출을 요구받았을 때, 어느 선까지 기밀정보를 공개할지 근거를 마련하는 것이 관건이라고 보고 있다. 정부는 표준화된 SBOM 제도가 필요하다는 이야기가 나오고 있는 만큼, 업계 의견을 반영해 세부 논의를 하겠다는 입장이다.

한국정보보호학회는 12일 서울 강남구 SETEC에서 '2024년도 공급망보안 워크숍'을 개최했다. 이날 행사는 산학연을 비롯해 정부 주요 관계자들이 모여 SW공급망 보안 관련 정책과 기술 개발에 대한 건의사항을 나누는 방식으로 진행됐다. 조직위원장을 맡은 이만희 한남대학교 교수를 비롯해 과학기술정보통신부(이하 과기정통부), 국가사이버안보센터(NCSC), 한국인터넷진흥원(KISA) 등 주요 관계자가 참석했다.

이날 현장을 찾은 민간 기업들은 지난 5월 국가정보원(이하 국정원)과 과기정통부, 디지털플랫폼정부위원회가 'SW공급망보안 가이드라인 1.0'을 공개하면서 SBOM에 대한 시장 인지도가 높아졌다고 공감대를 표했다.

SBOM은 개발 과정에서 외부 오픈소스 등을 통해 유입될 수 있는 보안과 라이선스 문제를 관리하기 위한 일종의 자재명세서다. 보안 위협이 발생하기 전 개발사, 공급사, 운영사 단에서 SW 레시피를 공유하도록 한 것이다.

다만 국내의 경우 법이나 제도로 규정된 부분이 많지 않아, 실제 SBOM을 제공하거나 요청할 때 애로사항이 발생하고 있는 상황이다. SBOM이 법이나 제도로 명문화될 경우, 회사 기밀정보를 공개하고 싶지 않아도 무조건 전달해야 하는 상황이 발생할 수 있다는 우려에서다.

특히 기업과 기업 간 SBOM 제출을 요구할 경우, 이에 대한 근거를 요구하거나 거부하기 어려운 실정이 이어지고 있는 것으로 나타났다. 보안 전문기업 스패로우 관계자는 "SBOM은 모든 구성 요소를 가지고 있기 때문에, 민감 정보가 포함이 되는 경우가 있다"며 "수요 측 요청이 있을 때 이를 제공하지 않아야 하는 근거가 없어, 요청이 들어오면 (모든 정보를) 줘야 하는 상황"이라고 분위기를 전했다.

이와 관련해 정부는 같은 민간이 하고 있는 고민을 논의할 계획이다. 정부가 기업과 기업 간 거래에 어느 정도 개입할 수 있을지 등도 살펴볼 부분이다.

정은수 과기정통부 정보보호산업과장은 "정부가 민간 기업 간의 사업에 (SBOM을) 줘야 한다, 혹은 주지 말아야 한다를 정의하기가 어렵다"며 "산업별로 비즈니스 모델이 상이하기 때문에 이것을 정부 규정으로 법에 명시하거나 의무화하기 어려울 수 있다"고 설명했다. 그러면서 "어떤 법률이 가장 효과적이고 비즈니스 침해가 발생하지 않을지 논의할 예정"이라고 말했다.

정부 측은 전날 한국정보보호학회가 콘퍼런스 형태로 개최한 공급망보안 워크숍에서 제도화 추진 방향을 처음 공개한 바 있다. 이달 범정부 SW공급망보안 태스크포스(TF)를 구성하고, 올해 말까지 국가 SW공급망보안 로드맵을 수립하는 것이 골자다. 제도 시행 시점으로는 2027년을 꼽았다.

한국뿐만 아니라 SBOM 제출 의무에 대한 고민은 미국에서도 발생하고 있다. 현장을 찾은 앨런 프리드만(Allan Friedman) 미국 사이버보안인프라보호청(CISA) 시니어 어드바이저는 "미국도 기업과 기업 간 관계에 대한 고민이 많다"며 "보통 정부를 위해 나온 표준을 기업이 따라하는 경우도 많기 때문에, SW공급망보안에 대한 논의 또한 같은 맥락에서 이어질 가능성이 있다"고 답했다. 아울러 국제 통용으로 적용될 만한 논의도 계속될 것으로 내다봤다.

한편 미국과 유럽연합(EU)을 중심으로 SW공급망보안을 의무화하려는 움직임이 본격화되고 있어, 한국 또한 속도를 낼 전망이다. EU의 경우 역내 유통되는 디지털기기의 SBOM 제출을 의무화하는 사이버복원력법(CRA) 제정안을 발의한 바 있다. 시행 시점은 2027년으로 예상된다.

프리드만은 전날 행사에서 "이제 우리는 SBOM이 필요하냐, 필요하지 않느냐를 논할 단계를 넘었다"며 "좋은 데이터를 활용하고, 상호 운용성을 확보하고, 국제 간 대화를 강화하는 것이 중요해질 것"이라고 강조했다.