[디지털데일리 최민지기자] #지난 7월 전세계를 놀라게 한 크라우드스트라이크발 IT대란, 올해 벌어진 대표적인 소프트웨어(SW) 공급망 전산사고 사례다. 당시 크라우드스트라이크 보안 프로그램이 마이크로소프트(MS) 윈도와 충돌하며, 전세계 항공기 수천편 운항이 지연·취소됐고 금융·방송·통신·의료 등 전방위 영향을 끼쳤다. 피해규모는 10억달러 이상(한화 약 1조4000억원)으로 추산된다.

초연결 시대와 함께 디지털전환이 가속화되면서, SW 생태계 참여 범위는 점점 확장되고 있다. 이제 SW는 IT산업뿐 아니라 자동차·의료·제조 등 전통산업에서도 빼놓고 말할 수 없는 요소가 됐다. 디지털 제품과 서비스 개발과정 연결성으로 생태계 범위는 더욱 커졌으며, 이 과정에서 외부 SW 활용은 점차 늘고 있다.

이에 따라 위협도 증가하고 있다. 크라우드스트라이크처럼 공급망 전산사고에 대한 우려도 늘어나지만, 외부 공격자로 인한 보안 위협도 눈여겨봐야 한다. 디지털제품·서비스는 자체 개발 SW 외 다양한 외부 SW가 포함됐다. 외부 SW로 꼽히는 공개SW는 관리 주체가 명확하지 않아, 악성코드·보안취약점 전파 경로로 악용되는 사례도 종종 발견된다. 실제, 전세계적으로 널리 사용되고 있는 공개SW인 로그4제이(Log4j)에서 심각한 보안취약점이 발견돼 전세계 기업·공공기관에 큰 피해가 발생하기도 했다.

보안업계는 내년 사이버보안 위협을 전망하며, SW 공급망 공격 심화를 손꼽고 있다. 상대적으로 보안 관리가 취약한 중소 협력업체 또는 공개SW부터 겨냥해 공격 통로를 만드는 식이다. 이는 러시아와 북한, 중국 기반 사이버공격그룹에서도 주로 사용하는 방식으로도 알려져 있다.

주요국은 이에 대응하기 위한 움직임에 분주하다. 미국과 유럽연합(EU) 등은 SW 공급망 보안 강화를 위한 제도화를 추진하고 있고, 한국도 SW 공급망 사이버위험을 관리하기 위한 국가적 대책을 고심하고 있다. 관련해 올해 정부는 'SW 공급망 보안 가이드라인 1.0'을 공개했고, 국가정보원과 과학기술정보통신부는 SW 공급망 보안 태스크포스(TF)를 발족했다. 관련 로드맵은 내년에 완성될 예정이다.

공급망 신뢰를 구축하기 위한 방안으로 '소프트웨어자재명세서(SBOM, Software Bill of Materials)'도 주목받고 있다. SBOM은 SW 구성요소를 목록화한 것으로, 이를 활용하면 SW 신뢰성 확보부터 보안취약점 관리까지 SW 공급망 보안을 강화할 수 있다는 판단이다. 정부가 내놓은 가이드라인에도 SBOM에 대해 안내하고 있으며, 최근 EU 이사회 문턱을 넘은 사이버복원력법(CRA, Cyber Resilience Act)에서도 SBOM 제출을 명문화했다.

이와 관련 디지털데일리는 17일 <DD튜브> 플랫폼을 통해 '소프트웨어 신뢰망 구축, 공급망 보안과 SBOM'을 주제로 '쉴드체인(ShieldChain) 2024' 온라인 세미나를 개최한다. 이번 쉴드체인 2024에서는 전문가들이 모여 SW 생태계 안전성을 높이는 방법을 제시하고, SBOM을 활용한 투명하고 신뢰성 있는 소프트웨어 개발·배포 실현 사례 등을 공유할 방침이다.

우선, 과학기술정보통신부 최영선 정보보호산업과장이 해외 SW 공급망 보안 동향과 국내 공급망 보안정책을 소개한다. 이어 센스톤 유창훈 대표는 'OT 보안의 병목구간 PLC 해킹 비상! 급증하는 위협에 대한은 없는가?'라는 주제로 발표할 예정이다. 디지서트코리아 나정주 지사장은 '디지서트 STM(DigiCert Software Trust Manager)'을 선보인다. 이는 소프트웨어 공급망 보호와 SBOM을 위한 플랫폼이다. 아울러, 한국마이크로소프트 김귀련 매니저는 '마이크로소프트 디지털 디펜스 리포트 2024'를 공유해 사이버보안의 새로운 도전과 기회를 모색할 계획이다.

한편, 이번 웨비나는 오는 17일 오후 2시부터 오후 3시50분까지 DD튜브 플랫폼을 통해 열린다. 참여를 희망할 경우, DD튜브를 통해 사전등록을 진행하면 이메일로 시청링크를 받을 수 있다. 웨비나 사전 등록 후 실시간 참여자 대상으로 추첨을 통해 소정의 선물도 제공할 예정이다.