KISA, SBOM으로 국내 공급망 위험 실체 파악…“보안 모델 정교화”
한국인터넷진흥원(KISA, 원장 이상중)은 국내 기업의 소프트웨어(SW) 공급망에서 실제로 어떤 위험이 발생하고 있는지를 분석해 ‘소프트웨어 자재명세서(SBOM)’를 기반으로 한 공급망 보안 모델을 정립했다고 4일 밝혔다.
KISA는 이번 사업을 통해 기업 내부에서 인지되지 않았던 오픈소스 사용, 방치된 취약점, 협력사 간 정보 단절 등 그동안 확인하기 어려웠던 공급망 위험이 구조적으로 드러났다고 설명했다.
이동화 KISA 공급망안전정책팀 팀장은 “SBOM을 적용하면 기업 내부에서도 파악하지 못했던 위험 요소들이 드러난다”며 “공급망 보안 체계를 갖추기 위한 출발점이 되는 도구”라고 강조했다.
모르는 오픈소스 다수 발견… 해외 수출 장벽으로 작용
KISA가 2023~2024년 의료·보안·공공 분야 기업을 대상으로 SBOM 실증을 진행한 결과, 가장 먼저 확인된 것은 “우리가 무엇으로 제품을 만들고 있는지 정확히 알기 어렵다”는 현실이었다. 또한 출처와 사용 경로가 불명확한 오픈소스가 다수 포함돼 있었고, 취약점이 해결되지 않은 컴포넌트가 그대로 제품 빌드에 반영되는 사례도 반복적으로 나타났다.
이동화 팀장은 “개발자가 모르는 오픈소스가 너무 많았고, 보안 취약점이 해결되지 않은 구성요소가 그대로 제품에 포함된 사례도 적지 않았다”며 “이런 문제는 해외로 제품을 수출할 때 더 명확한 공급망 위협이자 무역 장벽으로 이어질 수 있다”고 지적했다.
실제로 국내 기업들은 이미 해외 고객사 및 인증기관으로부터 SBOM 제출을 요구받고 있었다.
교통 솔루션 기업 에스트래픽은 미국 워싱턴메트로(WMATA) 등 해외 교통기관으로부터 SBOM과 보안계획서 제출 요구에 대응해야 했다. 의료 인공지능(AI) 기업 에이아이트릭스는 ‘미국 식품의약국(FDA)’의 의료기기 인허가 절차에서 SBOM 제출이 필수 요건으로 포함됐다. 보안 네트워크 기업 한드림넷은 일본의 사물인터넷(IoT) 보안 인증 제도인 ‘JC-STAR’ 준비 과정에서 펌웨어 SBOM을 생성해 현지 파트너사와 공유했다.
이 사례들은 SBOM이 이미 해외 시장에서 ‘사전에 제출해야 하는 기본 문서’로 자리 잡았으며, 법적 규제보다 시장의 요구가 더 빠르고 강력하게 작동하고 있음을 보여준다.
이를 반영해 KISA는 ▲외부 모듈·오픈소스 도입 단계에서 SBOM 생성 ▲빌드(CI/CD) 과정에서 코드·바이너리 기반 SBOM 생성 ▲운영 단계에서 취약점(CVE) 실시간 매칭 ▲개발팀 조치로 이어지는 위험 추적 흐름을 표준화했다. 이를 적용한 기업들은 구성요소와 취약점의 위치를 정확히 파악할 수 있게 됐으며, 일부 기업은 전체 취약점의 90% 이상을 개선한 것으로 나타났다.

개발 환경에서 취약점 발견, 전체의 0.49%는 ‘고위험’
SBOM은 완성된 제품의 구성요소만을 보여주는 도구가 아니라, 개발 환경에서 자라나는 공급망 위험까지 드러내는 역할도 했다.
KISA는 총 115건의 기술지원 과정에서 약 23만 1000개의 오픈소스 컴포넌트를 식별했다. 분석 결과, 전체 컴포넌트 중 약 3.5%에서 보안 취약점이 발견됐으며, 전체의 0.49%는 실제 공격에 악용될 수 있는 ‘고위험 취약점(KEV, Known Exploited Vulnerability)’인 것으로 확인됐다.
이동화 팀장은 “공급망 위협은 제품이 아니라 개발 환경에서 시작되는 경우가 많다. 한 곳에서 취약한 요소가 유입되면 자동화된 파이프라인을 통해 그대로 고객에게 전달될 수 있다”고 설명했다.
이러한 문제를 기반으로 KISA는 총 52개 기업을 대상으로 개발 환경의 보안 수준을 진단하고 재설계를 지원했으며, 각 기업은 재발 방지를 위한 내부 규정 개선도 함께 진행했다.
협력사·납품사 간 SBOM 교환 모델, 국내서 첫 체계화
KISA는 공급망 보안에서 가장 큰 문제로 기업 간 위험 정보의 단절을 꼽았다. 여러 기업이 함께 제품을 만들지만, 각 단계에서 어떤 구성 요소가 사용되는지 서로 파악하기 어려운 구조였기 때문이다. 이를 해결하기 위해 이번 사업에서는 국내 최초로 고객사와 협력사 간 SBOM 교환 모델을 체계화했다.
보안 기업 소만사와 휴네시온은 SBOM을 상호 공유하기 위해 전용 웹 기반 플랫폼을 구축했다. 이를 통해 ‘CycloneDX’ 포맷을 기반으로 컴포넌트 버전, 타입, 해시 등 핵심 정보를 교환하는 데 성공했다. 이렇게 전달된 SBOM은 보안 관제(SOC) 및 보안 정보 이벤트 관리(SIEM) 시스템과 연동돼 공급망 전체의 취약점을 탐지하는 구조로 확장됐다.
이 팀장은 “협력사의 위협을 투명하게 관리하는 기반을 마련했다는 의미가 있다”며 “이러한 모델이 미국 사이버보안청(CISA)의 SBOM 공유 가이드라인과도 부합한다”고 설명했다.
글로벌 규제 118개 항목 정리, 산업군별 모델 확장 추진
KISA는 ▲유럽 사이버레질리언스법(CRA) ▲보안 소프트웨어 개발 프레임워크(SSDF) ▲미국 식품의약국(FDA) ▲유럽 사이버보안인증체계(ESF) 등 복잡한 해외 규제를 종합 분석해, 제품 생애주기(SDLC) 기준으로 재정렬한 118개 항목의 자가진단 체크리스트도 마련했다.
기업들은 이 문서를 통해 수출 대상국에 따라 어떤 규제 요건을 충족해야 하는지, 개발·테스트·운영 단계 중 무엇이 미흡한지를 스스로 점검할 수 있다. KISA 측은 이를 내년 초 안내서 형태로 배포해 국내 기업의 수출 대응을 실질적으로 지원할 계획이다.
KISA는 내년에도 동일한 규모의 사업을 유지하며 AI, 금융, 제조 등 산업군별 특성을 반영한 공급망 보안 모델을 추가로 도출할 예정이다. 또한, 올해 축적된 SBOM 데이터를 기반으로 오픈소스 취약점 반복 패턴을 탐지하는 국내 공급망 위험 모니터링 체계도 마련할 방침이다.
이동화 팀장은 “공급망 보안은 개별 기업의 문제가 아니라 산업 전체의 구조적 문제”라며 “SBOM으로 보이지 않던 위험을 드러낸 지금부터가 본격적인 출발점”이라고 강조했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

