[디지털데일리 최민지기자] 미국‧유럽연합(EU)은 소프트웨어(SW) 공급망 보안을 위해 보다 강한 정책들을 실현하고 있다. 제대로 적기에 대응하지 못한다면, 이들 국가의 글로벌 공급망 보안 요구사항이 국내 수출기업에겐 무역장벽으로 작용할 수 있다는 우려도 나온다.

이와 관련 과학기술정보통신부 최영선 정보보호산업과장은 17일 디지털데일리 <DD튜브> 플랫폼에서 ‘소프트웨어 신뢰망 구축, 공급망 보안과 SBOM’을 주제로 열린 ‘쉴드체인(ShieldChain) 2024’ 온라인 세미나에서 “국민경제에서 수출 비중이 높은 한국의 경우 무역장벽으로 작동할 수 있는 SW 공급망 이슈는 직접적으로는 규제 대상의 제품‧서비스를 수출하는 기업들에게 이제 발등에 떨어진 불이 됐다”고 진단했다.

이어 “SBOM으로 대표되는 SW 공급망보안 강화는 생존을 위한 필수 요소”라며 “정부는 국내 기업환경에 맞는 SW 공급망보안 관리체계 기반을 조성하는 한편, 국내 기업이 글로벌 표준에 맞출 수 있도록 지원하는 정책을 수립할 예정”이라고 밝혔다.

앞서, 과학기술정보통신부(이하 과기정통부)는 지난 2022년부터 전문가 참여 공급망 보안포럼을 열어 전문가 의견을 수렴하고, 지난해부터 소프트웨어자재명세서(SBOM, Software Bill of Material) 실증사업을 추진했다. 올해 5월엔 국가정보원 등 다른 국가기관과 SW 공급망보안 가이드라인을 제정 배포했고, 9월부터 민관 합동 SW 공급망보안 태스크포스(TF)를 운영해 내년 초 중장기 추진전략을 발표할 계획이다.

이처럼 정부가 SW 공급망보안 정책을 추진하는 이유는 글로벌 정책 변화에서 비롯된다. 미국은 지난 2021년 5월 행정명령 EO-14028을 발표하며, 미 정부에 납품되는 SW 대상으로 SBOM을 요구했다. 이에 따라 미 국립표준기술연구소(NIST) 등에서는 안전한 SW 개발 프레임워크, SW 공급망 위험관리 기준 등 다양한 기준을 발표하고 있다. 미 공급망 보안 조치는 의료기기 인허가로 확대됐다. 지난해 10월 미 식품의약국(FDA)에서는 의료기기 인허가 때 SBOM 제출‧사후대응 체계를 요구하는 정책을 내놓았다.

최영선 과장은 “그동안 없었던 강도 높은 보안을 요구하는 내용이며, 국내 의료기기 기업 중에서 미국 수출을 준비하거나 진행 중인 기업에 직접적이면서 중대한 영향을 끼치고 있다”며 “국내에서는 이에 대한 기업들의 인식이 거의 없었던 점을 감안, 국내 기업들이 이에 적절히 대응하는 것이 매우 어려울 수 밖에 없다. 제대로 준비하지 못할 경우 사실상의 무역장벽이 될 수도 있다”고 말했다.

유럽의 SW 공급망 보안 강화 정책은 더 광범위한 제품‧서비스를 대상으로 한다. 사이버복원력법안(Cyber Resilience Act)은 올해 3월 이사회 승인을 마쳤으며, 시범적용을 거쳐 2027년 시행 예상된다. 이 법안에서는 EU 역내에 수입‧유통되는 모든 디지털 제품‧SW 안전성 확보를 위해, 디지털 제품 수명주기 전반에 걸쳐 사이버보안에 대한 의무 사항을 제시하고 있다. 적용대상이 직간접적으로 타 기기 또는 네트워크에 연결될 수 있는 디지털 요소가 포함된 모든 하드웨어(HW)‧SW 대상으로, 역내 제품 출시 전 SBOM 적용을 필수로 한다. 일본에서도 2019년부터 SBOM 도입‧보급을 위한 소프트웨어 TF를 구성하고, 2021년부터 의료기기‧자동차‧SW 분야에 SBOM 실증사업을 하고 있다. 중국, 영국, 네덜란드, 독일 등에서도 관련 정책과 가이드라인을 발표하고 있다.

한국에서도 SBOM 실증사업을 추진했다. 지난해에는 3개사, 올해에는 4개사를 대상으로 SBOM 생성‧검증을 통한 보안취약점을 탐지하고 조치하는 방안을 모색했다. 이를 통해 단순히 SW 명세서 추출 단계에서 그치지 않고, 지속적인 SW 보안 취약점을 관리할 수 있는 체계 구축이 중요하다는 점을 알게 됐다.

최 과장은 “실증 과정에서 SW 개발자도 모르는 오픈소스 정보들이 많이 발견됐다. 몰랐기에 보안 취약점 조치가 되지 않은 오픈소스를 그대로 사용하는 경우도 발견됐다”며 “소스코드, 완제품, 도입 후 설치 등 모든 단계에서 생성한 결과가 달랐는데, SBOM은 공급망 단계별로 생성해 관리하는 것이 바람직하다고 봤다”고 설명했다. 또 “진단도구를 통해 추출한 SBOM 결과에도 오류가 나타났다”며 “2개 이상 진단도구를 통해 교차검증이 필요하고, 전문가를 통한 올바른 해석과 진단도 있어야 한다”고 부연했다.

이는 국내 기업이 SW 공급망보안 관리를 제품 개발, 유통, 운용 단계에서 당연하게 고려해야 하는 체계적 관리체계로 인식해야 한다는 점을 시사한다. 최 과장에 따르면, SBOM 활용 때 개발자는 보안 취약점 발견부터 조치까지 5~9개월을, 운영자는 1년5개월정도 시간을 단축할 수 있다는 미 연구결과가 보고됐다.

최 과장은 “SBOM은 공급망 위협에 신속하게 대응하기 위해 가장 기초적으로 필요한 요소”라며 “기업에게 직접 SBOM을 생성하고 검증 분석해 라이선스, 보안취약점을 탐지‧조치할 수 있도록 SBOM 기반 공급망 보안관리체계를 구축하고 지속 운영할 수 있도록 지원하겠다. 이를 통해 국내 기업이 글로벌 공급망규제에 대응하고 자유롭게 해외 진출할 수 있도록 하겠다”고 강조했다.

그는 “글로벌에서 요구하는 강도 높은 요구사항을 지킬 수 있도록 보안점검‧컨설팅을 통해 지원할 계획”이라며 “국내 디지털 제품 서비스 개발공급 기업을 대상으로 설계부터 납품 전 단계의 잔존 위협과 글로벌에서 요구하는 SW 개발보안, 개발 환경 등 기술적‧관리적 점검도 함께 지원할 예정”이라고 전했다.