거세지는 ‘SW 공급망’ 위협…우리나라는 어떻게 막을까

이르면 이달 중 가이드라인 발간
KISA는 통합 관리 플랫폼 구축 준비

세계적으로 소프트웨어(SW) 공급망 보안 강화의 목소리가 커지는 가운데 우리나라도 관련 논의가 활발하다. 정부 주도로 포럼이 꾸려지는가 하면 통합 관리 플랫폼 구축도 준비되고 있다. 현장의 인식 변화를 위한 가이드라인 발간은 초읽기에 들어간 모습이다.

SW 공급망은 개발을 비롯해 시험, 패치, 배포 등 SW의 제작부터 유통 전 과정을 일컫는다. 이 과정에 해커들이 침투해 SW에 악성코드를 심거나 랜섬웨어를 배포하는 등 SW 공급망 공격의 위협이 거세지고 있다. 특히 오픈소스 접목이 더 늘어나는 지금 흐름에서 SW 공급망이 뚫릴 경우 그 피해는 더 멀리 퍼져나갈 수 있다. 글로벌 보안 기업 아쿠아시큐리티에 따르면 SW 공급망 공격은 연간 300%씩 증가하고 있다.

이에 해외는 이미 관련 논의가 활발하다. 미국 정부는 2021년 SW 공급망 보안을 강화하라는 행정명령(EXECUTIVE ORDER 14028)을 내렸다. 유럽연합(EU) 집행위원회 또한 관련법 제정 논의에 나선 것으로 알려졌다. 이에 우리나라에도 SW공급망 구축 논의에 대한 요구가 커졌고 과학기술정보통신부는 지난해 공급망 보안 포럼을 출범시켰다.

공급망 보안을 위한 도구 중 하나가 일종의 SW명세서인 ‘SBOM(Software Bill of Matereal)’이다. SW의 코드 구성과 제작 과정, 배포 절차 등에서 혹시 보안 위협 요소가 있었다면 어느 단계에서 일어났는지 추적하고 취약점을 정확히 분석하는 수단이 된다. 미국 정부는 정부 기관에 SW를 납품하는 업체들에게 SBOM 제출을 의무화했다.

우리나라는 지난해 공급망 보안 포럼을 꾸리고 가이드라인 제작에 착수했다. 가이드라인은 가장 큰 접점을 가진 개발자들에게 SW 공급망 개념과 사례를 모아 알리는 일종의 지침이다. 이와 함께 SBOM의 개념과 실제 개발현장에서의 주의점, 최근 침해 사례 등이 담길 전망이다.

이를 위해 과기정통부는 포럼 차원에서 보안 기업을 통한 실증에 나서는 한편 민간 협의체를 꾸려 현장 의견을 수렴하고 있다. 실증에는 ▲스패로우 ▲레드펜소프트 ▲핀시큐리티가 참여했다. 과기정통부 관계자는 “현재 실증은 거의 마무리 단계로, 결과를 반영해 가이드라인 초안 작업을 진행하고 있다”고 말했다.

최윤성 한국과학기술원 Cysec 고문(공급망 보안 포럼 정책·산업분과장)도 “공급망 분야는 새로운 분야이다 보니 정책(집행) 차원의 탑다운(Top-down) 방식과 개발자들의 SW 공급망 보안 인식을 높이는 바텀업(Bottom-up)방식 모두가 필요하다”면서 “가이드라인에는 사례와 원칙이 중심적으로 담길 것”이라고 말했다.

특히 중요한 건 추후 피해가 일어났을 때 회복하는 것보다 예방했을 때 효과가 크기 때문이다. 과거 네트워크 솔루션 기업 ‘솔라윈즈(SolarWinds)’ 제품을 뚫은 솔라윈즈 사태나, 오픈소스 로그 라이브러리인 ‘로그4j(Log4j)’ 취약점 사태는 큰 피해를 낳으면서 보안 업계에 경각심을 줬다.

당분간은 체계 구축에 드는 수고가 있겠지만 장기적으로는 이 같은 사태를 막아 기업의 비용 절감에도 도움이 될 거라는 게 최윤성 고문의 생각이다. 최 고문은 “개발자 작업 관리나 교육 등에 코스트(비용)는 발생하겠지만 지금 수동으로 하는 작업과 노력을 자동화할 수 있는 경제적 이득 효과가 상당히 크다”며 “리스크 매니지먼트 관점에서 대응해야 한다”고 말했다.

한국인터넷진흥원(KISA)도 현재 SW 공급망과 관련한 통합 관리 플랫폼 구축을 준비하고 있다. 현재 기획 단계로, KISA는 해외 정책과 실증사업의 성과를 반영해 구체적인 구축 방향을 세울 방침이다.

과기정통부에 따르면 가이드라인은 빠르면 연내 발간 예정이다. 현재 실증기업들은 이달 중순 종료 보고회를 앞둔 것으로 전해졌다. 과기정통부 관계자는 “1차 초안 작성 과정을 거쳐 이달 발간이 목표”라며 “늦어도 1월에는 발간할 예정”이라고 밝혔다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network