KISA ″공급망 보안 지원, 도입·운영 기업까지 확대″
글로벌 공급망 규제가 강화되면서 ‘소프트웨어 자재명세서(SBOM)’ 제출과 취약점 대응 체계 확보가 국내 기업의 주요 과제로 떠오르고 있다.
한국인터넷진흥원(KISA)은 올해 SBOM 기반 공급망 보안 체계 구축 지원사업을 확대해 개발·공급 기업 뿐 아니라 도입·운영 기업까지 지원하겠다고 16일 밝혔다. KISA는 전체 8개 과제를 매칭펀드 방식으로 운영하고, 과제 유형에 따라 기업당 3억원에서 5억원까지 지원할 계획이다.
소프트웨어 공급망 보안은 기업이 직접 만든 코드만 보는 일이 아니다. 오픈소스와 제3자 소프트웨어, 개발도구, 배포 환경까지 함께 점검해 제품 안에 어떤 구성요소가 들어갔는지 파악하고, 취약점이 생겼을 때 영향을 빠르게 찾아내는 체계를 뜻한다. SBOM은 이런 구성요소 목록을 정리한 문서다.
이동화 KISA AX공급망보안정책팀장은 “미국과 유럽이 공급망 보안 규제를 강화하면서 국내 기업도 소프트웨어 제품을 안전하게 만들고, 판매 뒤에도 취약점 대응 체계를 빠르게 갖춰야 하는 상황”이라고 설명했다.
작년엔 개발·공급 중심…올해는 도입·운영까지 확대
KISA에 따르면, 지난해 공급망 보안 지원 사업은 개발과 공급 기업을 중심으로 SBOM 기반 공급망 보안 체계를 구축하는 데 초점을 맞췄다. 특히 교통 인프라, 금융, 보안 분야 기업 등이 참여해 자사 제품을 더 안전하게 만들 수 있는 체계를 갖추도록 지원했다.
올해는 여기서 한 단계 더 나아가 소프트웨어를 실제로 도입하고 운영하는 기업까지 지원 범위를 넓혔다. 개발사, 공급사, 운영사, 수요기관이 컨소시엄을 꾸려 공급망 전 과정에서 보안 체계를 만들도록 하겠다는 것이다.
사업 구조도 바뀌었다. 전체 과제 수는 지난해와 같은 8개다. 다만 6개는 기존처럼 개발·공급 기업 중심으로 운영하고, 2개는 개발·공급 기업에 도입·운영 기업까지 포함한 확장형 과제로 나눈다. 개발·공급 중심 과제는 기업당 3억원, 도입·운영까지 포함한 과제는 기업당 5억원을 지원한다. KISA는 도입·운영 단계까지 확대하려면 장비와 인프라가 더 필요하다고 설명했다.
예산 외에 실제 기술 지원과 컨설팅도 제공한다. KISA는 기업 환경에 맞는 소프트웨어 구성 분석(SCA) 도구와 서버, 데이터베이스(DB) 등 필수 설비 도입을 지원하고, 공급망 보안 체계 설계와 운영까지 기술 지원을 함께 제공할 계획이다. 내부 매뉴얼과 지침을 문서로 남겨 사업이 끝난 뒤에도 기업 안에 체계가 자리 잡도록 돕는다는 설명이다.
SBOM 도입하자, 취약점 대응 7일에서 2일로 감소
KISA는 올해 사업에서 공급망 위협 모니터링과 대응 체계를 공식 프로세스에 넣겠다는 점도 강조했다.
이 팀장은 “지난해 사업에 참여한 8개 과제사를 대상으로 웹 프론트엔드 개발에 널리 쓰이는 자바스크립트 라이브러리인 리액트(React) 취약점 영향을 점검했다”며 “SBOM 기반 관리 체계를 구축하기 전에는 취약점 식별부터 대응 준비까지 평균 7일이 걸렸지만 구축 뒤에는 2일로 줄었다”고 설명했다. KISA는 올해 참여 기업이 새 취약점이 발생했을 때 자사 제품 안에서 영향을 더 빨리 찾고, 조치까지 이어갈 수 있도록 할 계획이다.
또한 KISA는 공급망 내 기업 간 개발 환경의 차이에서 오는 문제도 확인했다고 설명했다. 최종 납품 기업의 보안 수준은 높아도, 중간에 모듈을 공급하는 기업이나 개발 환경이 취약하면 전체 공급망이 흔들릴 수 있다는 설명이다. 실제 점검 과정에서도 ‘정보보호 관리체계(ISMS)’ 인증을 받은 기업이나 대기업의 개발 환경과, 게시판·파일 업로드 솔루션을 만드는 중소 개발사의 환경 차이가 크게 나타났다고 했다.
구축 어려운 기업엔 무료 점검 서비스 제공
KISA는 체계 구축 사업과 별도로 소프트웨어 개발기업을 위한 공급망 보안 점검·기술지원 사업도 진행한다. 이 사업은 자체 구축 역량이 부족하거나 당장 개발 환경을 점검해야 하는 기업을 대상으로 한다.
KISA는 올해 1월부터 12월까지 사업을 운영하며, 신청 기업에 소스코드 진단, 동적 진단, SBOM 기반 점검, 개발 환경 점검을 무료로 지원한다. 동적 진단은 프로그램을 실제로 실행하면서 취약점을 찾는 방식이다.
현장 점검이 가능한 기업에는 KISA와 민간 전문가가 직접 방문해 진단한다. 개발 환경 보안이 강해 외부 장비 반입이 어려운 기업은 판교의 사이버 레질리언스 센터(CRC)에서 소스코드 진단과 SBOM 생성·점검, 일반 컨설팅을 받을 수 있다. KISA는 최근 공급망 사고에서 개발자 PC와 개발 환경이 주요 원인으로 드러나는 경우가 많아, 개발 환경 점검을 함께 보는 것이 중요하다고 설명했다.
해외 진출을 준비하는 기업 수요도 늘고 있다. KISA는 방송·영상 장비처럼 하드웨어 안에 펌웨어가 들어가는 제품도 지원 대상이 될 수 있다고 설명했다. SBOM 제출 요구가 순수 소프트웨어를 넘어 장비와 펌웨어 영역으로 넓어질 수 있는 만큼, 개발 환경부터 공급망 보안 체계를 갖추는 것이 더 근본적인 대응이라는 취지다.
4월 9일까지 공모, 5월 협약 목표
올해 SBOM 기반 공급망 보안 체계 구축 지원사업 공모는 3월 10일 시작해 4월 9일 오후 2시까지 접수한다. KISA는 4월 중 평가를 거쳐 5월에는 지원기업을 확정하고 협약을 맺을 계획이다. 기업 부담 비율은 대기업 50%, 중견기업 30%, 중소기업 25%다. 지난해보다 대기업 부담 비율은 낮췄다. KISA는 관련 설명회도 3월 18일 연다.
이 팀장은 “2023년과 2024년 SBOM 실증사업을 진행했고, 지난해부터는 이를 본사업으로 확대해 공급망 보안 지원에 나섰다”며 “올해 사업은 단순한 도구 보급보다 기업 안에 공급망 보안 운영 체계를 적용하는 데 초점을 맞출 예정”이라고 강조했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
