“소프트웨어 노리는 위협 막자”…‘SW 공급망’ 보안 가이드 발표

소프트웨어(SW) 보안 취약점을 노리는 SW 공급망 위협을 막기 위해 정부가 가이드라인을 마련했다. 관련 위협이 거세지는 가운데 이를 막기 위한 방안을 공유하고, 안전한 SW 개발체계 활용 방안을 제시했다.

과학기술정보통신부는 18일 국가정보원·디지털플랫폼정부위원회·한국인터넷진흥원(KISA)과 서울 종로구 국가과학기술자문회의 청사에서 ‘SW 공급망 보안 가이드라인 간담회’를 개최했다.

SW 공급망은 개발에부터 배포, 실행, 유지보수 등 SW 활용을 둘러싼 전 과정을 뜻한다. SW 공급 과정의 요소요소를 확인해 해커의 공격을 막고 피해를 예방하려는 게 지금의 정보보호 업계 흐름이다. 관련 기사: [그게 뭔가요] 숨겨진 위협 막는 ‘SW 공급망’ 보안

과기정통부는 “디지털 제품과 서비스에서 SW의 비중이 높아지고, 모든 디지털 제품과 서비스가 네트워크로 연결됨에 따라 SW 보안 취약점을 악용하거나, SW 공급망에 악성코드를 삽입하는 등 우려가 고조되고 있다”고 가이드라인 마련 배경을 설명했다.

이미 미국과 유럽 등 주요국은 SBOM(Software Bill of Matereal)에 기반한 SW 공급망 보안을 의무화하고 있다는 설명이다. SBOM은 SW 적용 어느 단계에 위협이 존재하는지 추적하고 취약점을 정확히 분석하는 일종의 명세서 성격이다.

이번 가이드라인은 국내 공공기관·민간기업도 개념을 쉽게 이해하고 활용할 수 있도록 지원하는 게 목적이다. 간담회 첫 발표자로 나선 최윤성 고려대 교수는 ‘공급망 위기관리 체계’ 등 SW 공급망 보안 가이드라인 주요내용을 소개했다. 이만희 한남대 교수는 SW 공급망 보안 가이드라인을 기반으로 하는 SBOM 생성 및 보안취약점 관리 실증사례를, 강병훈 KAIST 교수는 SW 개발기업의 중요 자산인 SBOM의 안전한 활용방안을 공유했다.

(자료=과기정통부)

가이드라인은 총 4개 장으로 구성한다. 공개 SW 활용 확대 등 환경변화에 따른 공급망 제도화 현황을 비롯해 ▲안전한 SW 개발·운영을 위해 지켜야 할 개발(공급)사 및 SW 고객(운영)사의 역할과 안전한 SW 개발체계 활용방안 ▲국산 SW 대상 SBOM 생성과정과 점검항목 ▲SBOM 기반 SW 공급망 보안 도입 지원을 위한 정부 지원상황 등의 내용이 담긴다.

이날 주요 골자 공개에 이어 풀버전은 다음달 첫 주께 기업과 기관에게 공개한다. 과기정통부를 비롯해 국정원, KISA, 각 유관단체 홈페이지에 탑재해 확산을 도모할 예정이다.

강도현 과기정통부 2차관은 “서둘러 제도를 만들기보다 국제적 변화 흐름 속에서 우리 기업들이 적응할 수 있도록 지원하는 좋은 방안을 찾는 노력이 필요한 때”라며 “SW 공급망 보안 가이드라인이 기업활동을 저해하는 규제가 아니라 기업 자체 보안활동을 강화함으로써 경쟁력 확보의 기반이 될 수 있도록 지원에 노력을 아끼지 않겠다”고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

[컨퍼런스 안내] 클라우드 보안 & 제로트러스트 컨퍼런스 2024

바이라인네트워크는 올해 두드러진 사이버위협 트렌드, 클라우드 보안을 제대로 구현하는 방법과 기술을 알아보는 클라우드 보안 전문 컨퍼런스를 올해로 네번째로 개최합니다.

이번 행사에서는 하이브리드·멀티 클라우드 환경에서 보다 간소화된 방식으로 보안을 강화하고, 그 보안 수준을 유지할 수 있는 방안을 살펴봅니다. 아울러 원격 업무 환경 시대에 맞는 보안모델로 부각된 제로트러스트(ZeroTrust) 와 이를 구현하는 다양한 기술 방안, 시큐어액세스서비스 엣지(SASE), 폭발적인 변화를 부르는 AI 시대 진화된 위협 환경과 보안 방안 등을 포괄적으로 다룰 예정입니다.

  • 일시: 2024년 7월 4일 오전 8:40 ~ 오후 6:00
  • 장소: 서울 서초구 강남대로 213 양재 엘타워 6층 그레이스홀

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다