-정책 및 산업분과 중심으로 총 8개 워킹그룹 운영

-내년 1월 공공 SW공급망 보안정책 수립, 2027년 시행 목표

[디지털데일리 김보민기자] 한국이 '소프트웨어(SW) 공급망 보안' 제도화 작업에 본격 돌입한다. 담당 태스크포스(TF)를 통해 2027년을 목표로 단계별 로드맵을 추진한다는 구상이다.

국가정보원(이하 국정원)과 과학기술정보통신부(이하 과기정통부)는 국가사이버안보센터 판교캠퍼스에서 'SW 공급망 보안 TF'를 발족했다고 25일 밝혔다. 현장에는 국가안보실 등 관계기관과 산학연 전문가 60여명이 참석했다.

최근 사이버 위협은 개별 PC에 대한 해킹에 머무르지 않고, SW 개발 업체를 공격하여 제품과 업데이트 파일에 악성코드를 주입하는 방식으로 가해지고 있다. 제품이 사용된 정보기술(IT) 장비나 PC 전체를 자동 감염시키며 SW 공급망을 공략하는 특징이 있다.

북한발 사이버 공격 또한 SW 공급망을 겨냥하는 방식으로 진화 중이다. 국가 해킹조직들은 SW 공급망 공격을 통해 공공분야는 물론, 사회 전반에 걸친 대규모 피해와 사회적 혼란을 노리고 있는 것으로 보인다.

이에 주요국은 SW 공급망 보안을 강화하기 위한 작업에 돌입했다. 대표적으로 미국은 '국가 사이버보안의 개선에 관한 대통령 행정명령'을 발표했고, 한국도 관련 가이드라인을 통해 행렬에 동참한 상태다.

이번 TF는 SW 공급망 전반의 사이버 위협 요인을 진단하고, 보안 정책과 산업계 지원 방안을 마련하는 역할을 한다. TF에는 국방부, 행정안전부(이하 행안부), 디지털플랫폼정부위원회 등 관계기관 및 SW 산업계를 포함한 산학연 전문가들이 참여한다.

국정원 주관 '정책분과'와 과기정통부 주관 '산업분과'로 나눠 매월 그룹별 회의와 전체회의가 열릴 예정이다. 정책분과는 ▲법·제도 ▲보안지침 ▲안보위해 ▲위험관리를, 산업분과는 ▲인프라 ▲핵심 산업 ▲교육·훈련 ▲국제통상 등 각각 4개 워킹그룹을 운영한다.

TF는 내년 1월까지 공공분야 SW 공급망 보안 기준 등 보안 정책과, 산업 지원 및 육성 방안을 마련한다. 아울러 2027년 시행을 목표로 단계별 로드맵을 공개할 계획이다.

국정원은 현재 망분리 개선 방안으로 추진 중인 다중보안체계(MLS)와도 연계해, 공공분야 공급망 보안정책을 수립할 예정이다.

국정원 국가사이버안보센터장은 "산업과 안보에 미치는 영향을 검토하고, 국내 기업들과 공감대를 형성하며 SW 공급망 보안정책을 마련하겠다"고 밝혔다.

류제명 과기정통부 네트워크정책실장은 "S/W 공급망 보안이 기업에 부담보다는 경쟁력 강화와 해외 무역장벽 극복을 위한 지원책이 될 수 있도록 민·관이 머리를 맞대 정책을 수립하겠다"고 말했다.