과기정통부, SW 공급망 보안모델 구축 지원사업 추진

과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 국내 기업의 소프트웨어(SW) 공급망 보안 관리체계 구축·운영을 지원하는 ‘공급망 보안 모델 구축 지원사업’을 본격 추진한다고 17일 밝혔다.

과기정통부는 올해 사업에 40억원을 투입한다. 디지털 제품·서비스를 개발·공급·운영하는 기업이 자체적으로 SW 공급망 보안 체계를 갖출 수 있도록 모델 구축부터 운영, 보안 취약점 조치까지 지원할 계획이다.

이번 사업은 소프트웨어 자재명세서(SBOM)를 기반으로 한다. SBOM은 소프트웨어를 이루는 구성요소와 의존관계를 정리한 명세서다. 어떤 오픈소스와 라이브러리가 들어갔는지 파악할 수 있어 공급망 취약점 대응의 기초 자료로 쓰인다.

정부는 SW 공급망이 제조, 교통, 의료 등 산업 전반으로 넓어지면서 공급망 구조가 더 복잡해졌다고 보고 있다. 이에 따라 취약한 고리를 노린 공격도 늘고 있다. SW 공급망 공격은 한 번의 침해로 여러 기업과 이용자에게 피해를 줄 수 있어 파급력이 크다.

해외 규제도 강화되는 추세다. 미국은 의료기기 인허가 과정에서 SBOM 확인 등 안전한 개발 입증을 요구하고 있다. 유럽연합(EU)은 2027년부터 사이버복원력법(CRA)을 시행해 디지털 요소가 들어간 기기에 SBOM 관리를 요구할 예정이다. 정부는 이런 흐름이 국내 디지털 기업의 해외 진출 과정에서 부담으로 작용할 수 있다고 봤다.

올해 사업은 지난해와 비교해 운영 단계 지원을 강화한 점이 특징이다. 전체 8개 과제 중 2개 과제는 개발·공급기업뿐 아니라 운영기업까지 포함한 컨소시엄 구성을 필수로 했다. 보안 관리체계 구축에 그치지 않고, 공급망 위협 모니터링과 대응 단계까지 수행하는 관리 모델을 발굴하겠다는 취지다.

과기정통부와 KSIA는 사업 참여를 희망하는 기업·기관 관계자를 대상으로 18일 설명회를 연다. 공모 접수는 3월 10일부터 4월 9일까지 진행한다.

임정규 과기정통부 정보보호네트워크정책관은 “SW 공급망이 복잡해지면서 이를 노린 사이버 위협이 급증하고 글로벌 규제도 강화되고 있다”며 “국내 기업의 공급망 보안 역량을 높일 수 있도록 지원하겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network