과기정통부, SBOM 기반 SW 공급망 보안모델 구축 지원사업 추진

과학기술정보통신부는 한국인터넷진흥원(KISA, 원장 이상중)과 함께 글로벌 규제 및 소프트웨어(SW) 공급망 위협에 대응하기 위해 국내기업들의 SW 공급망 보안 관리체계 구축 및 운영 전반을 지원하는 ‘SW자재명세서(SBOM; Software Bill of Materials) 기반 SW 공급망 보안모델 구축 지원사업’을 본격 추진한다고 12일 밝혔다.

이번 지원사업에서는 총 8개 과제를 선정해 과제당 최대 3.75억원을 지원할 예정이다.

최근 SW의 보안 취약점을 악용하거나 SW 공급망에 침투해 악성코드를 삽입하는 등 SW 공급망 위협 사례가 지속적으로 발생하고 있다. 특히, 이러한 SW 공급망 위협은 단일기업·기관의 피해에서 그치지 않고 연쇄적 피해로 이어질 수 있어 그 위험성이 더 큰 상황이다.

실제로 2021년 말 발생한 로그4j(Log4j) 보안취약점 사태의 경우 보안취약점 자체도 문제였지만 로그4j가 어느 제품 또는 서비스에 어떻게 사용되고 있는지 정확히 파악하는 것이 불가능해 대응조치가 어렵다는 점이 문제로 지적된 바 있다. 이에 SBOM을 기반으로 SW 공급망 관리 강화의 필요성이 대두됐다.

이러한 SW 공급망 위협의 증가는 미국·유럽연합(EU) 등 주요국의 SW 공급망 보안 강화 조치로 이어져 SBOM 제출 혹은 관리를 의무화하는 등의 정책·제도 등으로 구현되고 있어, 국내기업들의 수출장벽으로 작용할 우려가 있다.

과기정통부와 KISA는 디지털제품·서비스를 개발·공급·운영하는 기업을 대상으로 자체적으로 SW 공급망 보안을 관리할 수 있는 모델 구축부터 운영 및 보안 취약점을 조치할 수 있는 기술지원까지 제공하는 시범사업을 통해 SW 공급망 보안에 투자해야 하는 기업들의 부담과 어려움을 최소화할 수 있도록 지원할 예정이다. 또한 작년 하반기에 출범한 범정부 합동 태스크포스(TF)를 통해 산·학·연 전문가 및 과기정통부·국정원 등 관계부처가 함께 향후 정책방향 등 SW 공급망 보안 로드맵을 마련해 제시할 예정이다.

최우혁 과기정통부 정보보호네트워크정책관은 “최근 SW 공급망을 노린 사이버 위협이 증가하고, 이에 따른 글로벌 규제도 강화되고 있어 SW 공급망 보안 강화를 위한 대비가 필수적이다”라며, “이번 지원사업을 통해 국내기업의 SW 공급망 보안을 강화하고, 해외 수출장벽을 극복하는 데 지원을 아끼지 않겠다”고 말했다.

한편, 이번 사업은 SW 공급망에 속해있는 개발·제조·공급·운영 등 기업·기관, 시스템통합(SI) 기업 등이 개발 협력사와 다양한 형태의 컨소시엄을 구성해 참여해야 한다. 공모 접수는 오는 17일부터 4월 21일까지 진행된다.

과기정통부와 KISA는 이번 사업의 참여를 희망하는 기업·기관 관계자를 대상으로 13일 SBOM 기반 SW 공급망 보안모델 구축 지원사업 설명회를 개최한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network