“소프트웨어 노리는 위협 막자”…‘SW 공급망’ 보안 가이드 발표
[무료 웨비나] 개발자를 위한 클라우드플레어를 소개합니다
◎ 일시 : 2025년 2월 6일 (목) 14:00 ~ 15:00
[무료 웨비나] 중동의 ICT 및 테크 기업 생태계 – 사우디 아라비아, UAE를 중심으로
◎ 일시 : 2025년 1월 23일 (목) 14:00 ~ 15:10
소프트웨어(SW) 보안 취약점을 노리는 SW 공급망 위협을 막기 위해 정부가 가이드라인을 마련했다. 관련 위협이 거세지는 가운데 이를 막기 위한 방안을 공유하고, 안전한 SW 개발체계 활용 방안을 제시했다.
과학기술정보통신부는 18일 국가정보원·디지털플랫폼정부위원회·한국인터넷진흥원(KISA)과 서울 종로구 국가과학기술자문회의 청사에서 ‘SW 공급망 보안 가이드라인 간담회’를 개최했다.
SW 공급망은 개발에부터 배포, 실행, 유지보수 등 SW 활용을 둘러싼 전 과정을 뜻한다. SW 공급 과정의 요소요소를 확인해 해커의 공격을 막고 피해를 예방하려는 게 지금의 정보보호 업계 흐름이다. 관련 기사: [그게 뭔가요] 숨겨진 위협 막는 ‘SW 공급망’ 보안
과기정통부는 “디지털 제품과 서비스에서 SW의 비중이 높아지고, 모든 디지털 제품과 서비스가 네트워크로 연결됨에 따라 SW 보안 취약점을 악용하거나, SW 공급망에 악성코드를 삽입하는 등 우려가 고조되고 있다”고 가이드라인 마련 배경을 설명했다.
이미 미국과 유럽 등 주요국은 SBOM(Software Bill of Matereal)에 기반한 SW 공급망 보안을 의무화하고 있다는 설명이다. SBOM은 SW 적용 어느 단계에 위협이 존재하는지 추적하고 취약점을 정확히 분석하는 일종의 명세서 성격이다.
이번 가이드라인은 국내 공공기관·민간기업도 개념을 쉽게 이해하고 활용할 수 있도록 지원하는 게 목적이다. 간담회 첫 발표자로 나선 최윤성 고려대 교수는 ‘공급망 위기관리 체계’ 등 SW 공급망 보안 가이드라인 주요내용을 소개했다. 이만희 한남대 교수는 SW 공급망 보안 가이드라인을 기반으로 하는 SBOM 생성 및 보안취약점 관리 실증사례를, 강병훈 KAIST 교수는 SW 개발기업의 중요 자산인 SBOM의 안전한 활용방안을 공유했다.
가이드라인은 총 4개 장으로 구성한다. 공개 SW 활용 확대 등 환경변화에 따른 공급망 제도화 현황을 비롯해 ▲안전한 SW 개발·운영을 위해 지켜야 할 개발(공급)사 및 SW 고객(운영)사의 역할과 안전한 SW 개발체계 활용방안 ▲국산 SW 대상 SBOM 생성과정과 점검항목 ▲SBOM 기반 SW 공급망 보안 도입 지원을 위한 정부 지원상황 등의 내용이 담긴다.
이날 주요 골자 공개에 이어 풀버전은 다음달 첫 주께 기업과 기관에게 공개한다. 과기정통부를 비롯해 국정원, KISA, 각 유관단체 홈페이지에 탑재해 확산을 도모할 예정이다.
강도현 과기정통부 2차관은 “서둘러 제도를 만들기보다 국제적 변화 흐름 속에서 우리 기업들이 적응할 수 있도록 지원하는 좋은 방안을 찾는 노력이 필요한 때”라며 “SW 공급망 보안 가이드라인이 기업활동을 저해하는 규제가 아니라 기업 자체 보안활동을 강화함으로써 경쟁력 확보의 기반이 될 수 있도록 지원에 노력을 아끼지 않겠다”고 말했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network