[디지털데일리 김보민기자] 소프트웨어(SBOM) 기반 공급망 보안 모델을 구축하도록 돕는 정부 지원사업이 지난 17일 접수를 시작했다. 총 30억원대 정부 예산이 투입되는 만큼, 수요 기업들 간 관심이 모이는 분위기다.

다만 사업에 선정될 가능성을 높이기 위해 컨소시엄을 꾸려야 하고, 선정되더라도 국산 보안제품 사용을 장려할 가능성이 높아 실효성에 의문이 제기된다. 사업 전담기관인 한국인터넷진흥원(KISA)은 공모 사례의 '시급성'을 우선시해 평가하겠다는 입장이다. 컨소시엄 참여에 가점을 부여하는 것은 사실이나 단독 참여가 가능하고, 여건에 따라 외산 사용 또한 문제 없다는 입장이다.

24일 관련 업계에 따르면, KISA는 지난 17일 홈페이지를 통해 'SBOM 기반 공급망 보안 모델 구축 지원사업'을 공지했고, 같은 날 접수를 시작해 4월21일까지 신청서를 받는다. 신청은 KISA 전자계약시스템을 통해 진행되고 있다.

과학기술정보통신부(이하 과기정통부)는 이번 지원 사업을 총괄하고, 한국방송통신전파진흥원은 정부 출연금을 관리하는 역할을 수행한다. KISA는 지원사업 공모부터 예산 집행, 성과 평가, 현장 점검 등을 실시할 예정이다.

이번 사업은 정부가 총 30억원 예산을 집행해, SBOM 기반 공급망 보안 모델을 구축하려는 기업에 3억원대 예산을 지원하는 것이 특징이다. 그간 보안 취약점·라이선스·실시간 모니터링·자산 등 주요 영역에서 '관리'에 초점을 둔 실증사업을 추진한 만큼, 이제는 실제 수요처를 대상으로 도입 및 구축을 경험해 볼 수 있도록 예산을 지원한다는 구상이다.

지원 사업은 2개 공모 분야 내 8개 과제를 대상으로 진행된다. 공모 분야는 '글로벌 규제 대응'(6개 과제)과 '공급망 위협 대응'(2개 과제)로 나뉘며, 각 과제에 3억7500만원이 투입된다. '글로벌 규제 대응' 분야는 해외 공급망 보안 정책에 직면한 산업, 혹은 해외 진출을 준비 중이거나 진출 중인 기업을 대상으로 모집을 진행하고 있다. '공급망 위협 대응' 분야는 공급망 공격을 빈번하게 받았거나, 공격 성공 시 파급력이 높은 산업에 속한 기업이 지원할 수 있다.

SBOM과 공급망 보안이 거론될 때마다 '자체 구축이 어려워 현실성이 떨어진다'는 회의적인 의견이 제기되는 가운데, 필수 설비 구축과 운영 전반에 대한 기술을 지원한다는 취지다. KISA는 이번 사업을 통해 디지털 제품과 서비스를 개발하는 기업이 공급망 위협 대응 역량을 확보해 피해 확산을 방지하고, 글로벌 공급망 규제 대응 역량을 확보한 뒤 해외 수출 기반을 마련할 수 있을 것으로 기대하고 있다.

다만 현장에서는 사업 신청까지 진입장벽이 높다는 의견이 나온다. 이번 사업은 개발·제조·공급·운영 등 공급망에 속해 있는 기업, 기관, SI업체들이 컨소시엄을 구성하도록 장려하는데 단독 참여 기업에게 불리한 요건이 아니냐는 이유에서다. KISA가 공지한 평가 기준에도 개발 협력사 참여 수를 0.5점으로 계산해 최대 가점 2점을 부여한다는 요건이 담겨 있다.

이러한 우려는 사업을 공지하기 이전인 지난 13일 설명회에서도 드러났다. 한 참가자는 "국내 소프트웨어(SW) 문화는 많은 협력업체를 두고 개발하지 않는다는 특징이 있다"며 "컨소시엄을 구성하기 쉽지 않을 텐데 소프트웨어를 납품하는 고객사가 참여하는 것도 괜찮냐"고 물었고, 다른 참가자는 "컨소시엄을 구성할 때 범위가 명확하지 않다"고 의견을 제기했다.

KISA는 공모 분야가 공급망 위협과 글로벌 규제 대응에 초점을 맞춘 만큼, 각 사안에 시급한 지원이 필요한 신청자를 우선 대상자로 선별한다는 입장이다. 아울러 단독 참여에도 문제가 없다고 밝혔다. KISA 측은 "컨소시엄이 많으면 많을수록 가점이 부과될 뿐, 단독으로 신청해도 관계가 없다"며 "단독 참여의 경우 기업 내에서 (각 공급망 영역을) 어떻게 관리하고 있는지 설명해 제출하면 좋겠다"고 답했다.

지원사업에 선정이 되더라도, 국산 제품 사용만 장려할 수 있어 우려를 표하는 이들도 있다. 설명회에서 <디지털데일리>를 만난 제조기업 관계자는 "국산과 외산 제품의 연간 라이선스 비용을 비교해 봤을 때 약 10배 정도가 차이가 나는데, 3억원대 지원 예산으로는 턱없이 부족하다"며 "결국 추가적으로 자금을 마련할 수 있는 컨소시엄 및 기업만이 공급망 보안에 외산 제품 또한 활용할 수 있게 된다는 의미"라고 말했다.

KISA는 국산 제품을 우선순위로 안내하되, 외산이 필요하다면 별도 안내를 진행할 계획이라는 입장이다. 국산 제품을 장려하겠지만, 기업 환경과 여건에 따라 외산 또한 문제가 없다는 취지다. 아울러 추가 비용에 부담이 있는 경우에 대비해, 무료 도구 설치 또한 가능하도록 준비할 방침이다. LG전자가 오픈소스로 공개한 '포스라이트' 등을 분석해 추후 기업 환경에 맞춰 활용할 수 있도록 구축을 지원한다는 구상이다.

다만 국내 시장에서 SBOM 및 공급망 보안에 대한 인식이 자리 잡지 않은 만큼, 외산 제품 사용을 위해 대규모 자금을 집행할 기업이 많지 않을 것으로 보인다. 무료 도구의 경우, 지속적인 운영 관리가 필요해 업무가 가중될 수 있다는 지적도 나온다.

일단 KISA는 별도 컨설팅 회사를 선정해, 8개 과제에 대한 추가적인 지원을 제공할 계획이다. KISA는 "(이번 지원사업은) 단순 SBOM 추출 도구를 구입하고 인프라를 구축하도록 돕는 사업이 아니다"라며 "예산 지원과 더불어 추후 관리 및 모니터링 방안에 대한 컨설팅을 제공하겠다"고 말했다.

한편 지원 사업은 4월 신청서 접수를 마치고 사업자 평가 및 참여기업 선정 작업을 추진한다. 오는 5월에는 원가 산정 및 협약이 진행되고, 선정된 과제 대상자는 6월부터 12월까지 사업을 수행한다. 예산 사용 정산 처리 등은 올 12월 수행 마감 일정에 맞춰 진행된다.