[디지털데일리 김보민기자] 미국 사이버보안인프라보호청(CISA)이 주최한 글로벌 소프트웨어(SW)공급망 보안 행사가 막을 내렸다. 현장에 참석한 주요 정부 기관 및 기업 관계자들은 주요국이 갖춰야 할 보안 태세를 공유하는 데 여념이 없었다.

한국은 이번 행사를 통해 SW공급망 보안 대표국으로 존재감을 드러냈다. 담당 발표자와 전시 기업은 국내 정책 동향과 기술력을 공유하며, 중요 가치로 '신뢰'가 중요하다는 업계 의견에 힘을 보탰다. 올해 정부가 공식 가이드라인을 발간한 가운데, 주요국과 더불어 글로벌 흐름에 동참한 모습이다.

19일 보안 업계에 따르면 미 CISA는 지난 11일(현지시간)부터 이틀간 미국 콜로라도주 덴버 애슬래틱 클럽(Denver Athletic Club)에서 'SBOM-a-Rama'를 개최했다. 이는 SW 및 보안 커뮤니티가 참여하는 글로벌 유일 행사로, 과거 유럽연합(EU) 위원회와 독일 연방정보기술보안청(BSI), 일본 경제산업성(METI) 관계자가 참여해 위상이 높아졌다는 평가를 받고 있다.

행사명처럼 올해 참가자들의 최대 관심사는 소프트웨어자재명세서(SBOM)다. 예년과 달리 이번 행사가 SBOM 기업 전시를 더해 확장 개최된 점도 그 일환이다. SBOM은 외부 오픈소스 등을 활용할 때 유입될 수 있는 보안 및 라이선스 문제를 관리하는 일종의 자재명세서다. 보안 위협이 발생할 시 SBOM 내역을 검토해 어느 부분에 구멍이 났는지 한눈에 확인할 수 있어, SW공급망 보안 영역에서 필수 도구로 여겨지고 있다. 미국을 비롯한 주요국은 의무화 작업에 돌입한 상태다.

이번 행사에서는 유력한 인사들이 발표자로 참여했다. 대표적으로 앨런 프리드만 CISA 시니어 어드바이저를 비롯해 SAP, 스플렁크, 유나이티드에어라인, 록히드마운틴 등 세계 각국 관계자들이 참여해 SW공급망 보안을 실현한 사례를 공유했다. 이들은 SW공급망 보안을 실현하기 위해 신뢰를 높여야 하고, 투명성과 보안성이라는 두 핵심 요소를 간과해서는 안 된다는 점을 강조한 것으로 전해진다.

한국도 발표 명단에 이름을 올리며, 글로벌 의견에 뜻을 같이 했다. 범정부 SW공급망 보안 가이드라인 집필에 참여한 최윤성 고려대학교 교수는 정부 자문역으로 'SBOM 기반 위험 관리 프레임워크 구축을 위한 한국의 노력'을 주제로 발표했다. 최 교수는 "이번 행사로 SW 공급망 보안이 우리 혼자서 해결할 수 없는 글로벌 이슈이며, 전 세계가 (우리 일에) 관심을 두고 있다는 사실을 이해하는 것이 핵심이라고 느꼈다"며 "복잡한 공급망에서 투명성과 신뢰를 바탕으로 탁월한 관리 능력을 발휘하면, 새로운 리더십이 발전할 수 있다고 생각한다"고 소감을 전했다.

전시 명단에도 한국 기업이 이름을 올렸다. SW공급망 전문 기업 래브라도랩스는 한국 기업 중 유일하게 발표와 전시에 참여해 자사 플랫폼 '래브라도 SCM'와 소프트웨어구성분석(SCA)를 소개했다. 래브라도 SCM은 SW 공급망에 관여하는 모든 기업의 SBOM 생성, 보내기, 받기, 상호 확인, 수정 보완 등을 자동화한 솔루션이다. 래브라도 SCM은 SW 유통 과정에서 취약점을 사전에 점검해 보완하는 제품이다.

그간 한국은 정보기술(IT) 강국으로 불려왔지만, SBOM을 비롯한 SW공급망 보안 분야에서 성숙도가 높지 않다는 평가를 받아왔다. 사용하는 SW 종류가 다앙한 것과 대비해, 투명성과 보안성 측면에서 이를 고도화하는 작업이 따라오지 못했다는 평가다. 이에 정부는 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회를 필두로 민관 협력을 거쳐 'SW공급망 보안 가이드라인 1.0'을 최근 발표해 SW 개발사, 유통사, 운영사 역할을 안내하는 기본서를 마련했다. 추후에는 산업별 가이드라인 또한 마련될 것으로 전망된다.

주요국과 비교했을 때 추진 속도가 더뎠다는 의미다. CISA 또한 이번 행사 안내를 통해 "SBOM의 개념은 새로운 것이 아니다"라며 "학계에서는 1995년 SBOM에 대한 잠재적 가치를 확인했고, 이후 모호했던 개념이 글로벌 핵심 의제로 떠오른 상황"이라고 강조했다. 일례로 미국 바이든 정부는 2021년 행정명령으로 연방정부에 SW공급망 보안 관리를 의무화했고, 2022년에는 '안전한 정부를 위한 SW공급망 보안 강화 지침' 등을 발표하며 의제를 이끌고 있다.

때문에 이번 행사에 주요 국가 중 하나로 참여했다는 사실은 SW공급망 보안에 있어 한국에 대한 관심이 증대하고 있다는 점을 방증한다. 국내 보안업계 관계자는 "SBOM-a-Rama에 한국이 정부 방향성과 기술력을 직접 소개했다는 것에 의의가 있다"며 "추후 새로운 가이드라인이 나오거나, 주목받는 기업이 생길 시 글로벌 현장에서 목소리를 낼 기회가 많아질 것으로 본다"고 말했다.

한편 한국은 SW공급망 보안 경쟁력을 강화할 예정이다. 업계에 따르면 정부는 국가 SW공급망보안 로드맵을 구체화하고, 2027년 제도 시행을 목표로 사전 작업을 추진하고 있다.