[디지털데일리 김보민기자] 정부가 국가 사이버 안보 기본 계획을 추진해 '공세적 방어 체계'를 강화하겠다는 의지를 재확인했다. 핵심 과제 중 하나로 공급망 보안이 떠오른 만큼, 관리용 소프트웨어(SW) 보호 등 주요 사안에 대한 논의가 활발해질지 관심이 주목된다.

3일 관련 업계에 따르면 신원식 국가안보실장은 최근 용산 대통령실 브리핑을 통해 국가 사이버 안보 기본 계획을 추진한다고 발표했다. 지난 2월 안보실이 발표한 '국가사이버안보전략'의 후속 조치로, 실천 과제 100개를 구체화한 것이 특징이다. 다만 국가 기밀에 해당하는 내용이 있어, 세부 내용은 공개하지 않았다.

앞서 안보실은 ▲공세적 사이버 방어 활동 강화 ▲글로벌 사이버 공조 체계 구축 ▲국가 핵심 인프라 사이버 복원력 강화 ▲신기술 경쟁 우위 확보 ▲업무 수행 기반 강화 등 다섯 가지 전략을 제시한 바 있다. 안보실이 관계부처 합동으로 공개한 세부 계획에도 동일한 내용이 담겼다.

국내 보안업계에서는 여러 전략 중 특히 '국가 핵심 인프라 사이버 복원력 강화'를 주목하고 있다. 여기에는 주요 정보시스템 보안을 강화하고 디지털플랫폼정부 구현에 대비한 보안 관리 체계를 재정립하는 내용이 담겼는데, 최근 업계 관심사 중 하나인 정보통신기술(ICT) 공급망 보안 정책을 확립하는 과제도 포함됐다. 소프트웨어자재명세서(이하 SBOM) 제출을 의무화 및 제도화하고 있는 미국과 유럽연합(EU)에 발맞춰 국내 또한 SW 공급망 보안에 힘을 실어야 한다는 취지다.

세부적으로는 SW 개발 및 공급 단계 취약점 내재 위험성에 대응하고, 국내 SW 기업이 해외 무역장벽을 극복할 수 있도록 유사 SBOM 체계를 도입하도록 지원하는 내용이 담겼다. 또한 범정부 합동으로 SW 공급망 보안 관련 제도와 지침을 정비하고, 국가와 공공기관을 대상으로 공급망 보안 관리 체계를 교육하겠다는 계획도 포함됐다.

앞서 정부는 디지털플랫폼정부위원회(이하 디플정위), 국가정보원(이하 국정원), 과학기술정보통신부(이하 과기정통부)를 필두로 SW 공급망 보안 국제 동향과 SBOM 활용 사례를 담은 가이드라인 1.0을 공개한 바 있다. 추후에는 필요에 따라 산업 영역별 특화 가이드라인이 나올 것으로 예상된다.

보안업계에서는 이번 안보실 추진 계획을 계기로 SW 특징별 적용 사례에 대한 논의가 본격화될 것으로 보고 있다.

특히 공급망 보안 차원에서 관리용 SW에 대한 논의가 시작될 것으로 보는 시각도 있다. 가이드라인 1.0의 경우 공급망 보안과 SBOM에 대한 개념적 정의를 내리는 데 집중한 만큼, 추후에는 고도화된 안내가 필요하다는 취지다. 위협 인텔리전스 기업 관계자는 "국내의 경우 정책과 자산을 관리하는 솔루션이 많고, 접근통제에 특화된 SW가 다수"라며 "그러나 이런 솔루션은 맞물려 있는 기기를 기반으로 파일을 유포하거나 악성코드에 악용되기도 한다"고 설명했다.

다른 관계자는 "공급망 보안에서 가장 많이 표적이 되는 것은 관리용 SW"라며 "금융을 비롯한 국내 주요 산업군에서 관리용 SW에 대한 취약점이 많이 확인되고 있고, 알려지지 않은 제로데이 취약점에 대한 신고 수도 늘어나고 있어 우려가 되는 상황"이라고 강조했다.

때문에 SBOM 특화 사업을 진행하고 있는 보안 기업이 수혜를 입을 수 있다는 관점도 나온다. 주목을 받는 기업은 대표적으로 파수 자회사 스패로우, 소프트캠프 자회사 레드펜소프트, 래브라도랩스 등이 있다. 이들 기업은 제조업을 중심으로 공급망 보안 및 SBOM 제품군에 대한 수요가 늘고 있는 것으로 전해진다.

위 관계자는 "대기업이나 대형 벤더의 경우 관리용 SW라는 세부 영역까지 살펴보며 공급망 보안을 관리할 수 있지만, 작은 규모의 기업의 경우 그렇지 못하다"며 "정부가 말하는 안전한 보안 체계, 그리고 공세적 방어 활동을 실현하기 위해서는 이들 기업 또한 공급망 보안 측면에서 대응 역량을 강화하는 작업이 선행될 필요가 있다"고 제언했다.

한편 이번 세부 계획에는 공급망뿐만 아니라 전반적인 보안 정책을 개선하는 내용도 담겼다. 인공지능(AI) 시대에 발맞춰 사이버안보 패러다임을 전환하고 한국형 제로트러스트 기술을 적용한 모델을 연구하는 것이 핵심이다. 국가 및 공공기관 망분리 정책 개선과 사물인터넷(IoT) 기기에 대한 보안 내재화에 대한 과제도 핵심으로 추진될 전망이다.