정부, SW 공급망 보안 로드맵 발표…SBOM·AI 대응체계 구축
과학기술정보통신부(이하 과기정통부)와 국가정보원(이하 국정원)은 소프트웨어(SW) 개발·공급 단계의 보안을 강화하고 공급망 공격의 연쇄 피해를 줄이기 위한 ‘SW 공급망 보안 강화 로드맵’을 마련했다고 24일 밝혔다.
정부는 24일부터 이틀간 서울 양재 aT센터 그랜드홀에서 열리는 ‘2026년도 공급망 보안 워크숍’에서 로드맵과 소프트웨어 자재명세서(SBOM) 기반 공급망 보안체계 구축 사업 성과를 발표한다.
소프트웨어 공급망은 개발자가 코드를 작성하는 단계부터 제품 생산과 배포, 실행, 유지보수까지 소프트웨어가 거치는 전체 과정이다. 공개 소프트웨어와 외부 개발 제품, 제3자 라이브러리 활용이 늘면서 공급망 구조도 복잡해졌다.
공격자가 개발 도구나 코드 저장소, 업데이트 서버 등 공급망의 한 지점을 침해하면 같은 소프트웨어를 사용하는 여러 기업과 기관으로 피해가 확산할 수 있다. 정부는 인공지능(AI)을 활용한 취약점 탐색과 공격 자동화가 확산하면서 기존 네트워크 경계 중심의 보안체계만으로는 대응하기 어렵다고 판단했다.
로드맵은 ▲공급망 위협 예방 역량 강화 ▲신속한 탐지·대응체계 마련 ▲정책·제도 기반 조성 등 3대 전략과 9개 세부 과제로 구성됐다.
개발 단계부터 보안 적용…중소기업 시험·점검 지원
정부는 소프트웨어 기획과 개발, 시험, 배포, 운영 단계별로 기업이 따라야 할 공급망 보안 기준을 2026년부터 마련한다. 미국 국립표준기술연구소(NIST)의 안전한 소프트웨어 개발 프레임워크(SSDF) 등을 참고해 국내 환경에 맞는 ‘안전한 소프트웨어 개발 방법론’을 개발할 계획이다.
기존 ‘SW 공급망 보안 가이드라인 1.0’은 실제 개발·운영 현장에서 활용할 수 있는 2.0 버전으로 개편한다. 안전한 공개 소프트웨어 도입 방법과 외부 소프트웨어 관리, 자동화 도구 활용 방안 등을 포함한다.
공급망 보안 인력과 시설을 갖추기 어려운 기업에는 시험·점검 환경을 제공한다. 개발보안허브와 국가사이버안보협력센터 등 기존 시설에 SBOM 생성과 취약점 분석, 시큐어코딩 점검 도구를 구축한다. 지역정보보호클러스터를 활용해 시험 환경을 광역권으로 확대할 계획이다.
2027년부터는 테스트 시설을 방문하기 어려운 기업을 대상으로 비대면 점검 서비스를 제공한다. 고성능 AI 모델을 활용해 중소기업 소프트웨어의 취약점을 검사하고 전문가가 조치를 지원하는 기반도 구축한다.
보안 전담 인력을 확보하기 어려운 소규모 소프트웨어 기업에는 클라우드 기반 개발환경과 보안 솔루션 도입을 지원한다. 정부가 인용한 ‘2023년 SW산업 실태조사’에 따르면 국내 소프트웨어 기업 4만3932개 가운데 81%는 종사자 10명 미만 사업장이다.
SBOM으로 구성요소 추적…공공 통합관리 시스템 구축
정부는 소프트웨어 자재명세서(SBOM)를 활용해 제품에 포함된 공개 소프트웨어와 외부 라이브러리, 구성요소 사이의 의존 관계를 관리하도록 지원한다. SBOM은 소프트웨어를 구성하는 부품과 버전, 구성요소 사이의 관계를 기록한 명세서다.
미국 식품의약국(FDA) 인허가나 유럽연합(EU) 사이버복원력법 적용을 준비하는 수출기업을 우선 지원한다. 보안 소프트웨어와 금융·교통 분야, 의료·건강정보를 처리하는 소프트웨어처럼 사고 발생 시 영향이 큰 분야도 지원 대상에 포함한다.
정부는 SBOM 생성과 검증, 취약점 분석, 대응 방안 제시 과정을 자동화하는 기술을 개발한다. SBOM에 포함될 수 있는 취약점 정보 등 기업의 민감정보를 안전하게 교환하기 위한 관리 방안도 연구한다.
공공 분야에는 국가·공공기관이 도입한 소프트웨어의 SBOM을 등록하고 공급망 위험을 모니터링하는 통합관리 시스템을 구축한다. 2027년부터 보안기능 시험과 보안적합성 검증 대상 제품을 중심으로 실증한 뒤 펌웨어와 클라우드 서비스 등으로 적용 범위를 넓힌다.
2028년부터는 국내외에서 유통되는 상용·공개 소프트웨어의 취약점 정보를 실시간으로 수집하는 데이터베이스를 구축한다.
버그바운티·AI 탐지 확대…공급망 공격 확산 차단
정부는 기업의 버그바운티와 정부 취약점 신고포상제 등 취약점 발굴 통로를 확대한다. 기업이 외부 연구자의 취약점 점검을 허용하고 발견된 문제를 신고받아 조치·공개하는 취약점 신고·조치·공개 제도(CVD·VDP) 도입도 지원한다.
2026년부터 개발·공급업체 내부의 위협 탐지 정보와 국내외 보안기업의 위협 데이터를 통합 분석하는 AI 기반 탐지체계를 운영한다. 네트워크와 웹, 단말에서 수집한 정보를 연결해 개별 보안 경보 사이의 관계와 공격 흐름을 분석하는 방식이다.
2027년에는 자동 패치와 피해 억제 기능을 포함한 AI 기반 방어체계를 구축한다. 2028년부터는 AI를 활용해 제로데이 취약점을 실시간으로 찾고 위험도를 평가하는 자동화 체계로 전환할 계획이다.
국정원은 공공기관이 도입·운용하는 정보통신제품의 안보 위해 가능성을 평가하는 검증체계를 마련한다. 국제사회에서 위해성이 제기된 제품이나 국가 배후 해킹조직이 개발·유통에 관여한 제품, 해킹 사고 가능성이 있는 제품 등을 분석한다.
이를 위해 민·관·군 전문가가 참여하는 ‘안보위해 평가 협의체’를 운영한다. 공공기관의 보안 취약 제품 도입 여부를 주기적으로 점검하고 외교·안보·국방 기관에 제품을 납품할 때 안보 위해성 점검표를 제출하도록 하는 방안도 추진한다.
민간 분야에서는 기업이 사용하는 소프트웨어와 보안제품에 중대한 취약점이나 은닉형 악성코드가 포함됐는지 상시 점검한다. 2027년부터 SBOM을 생성·관리하는 기업에 신규 취약점 경보를 제공한다.
2028년에는 기업과 이용자 PC에서 취약한 소프트웨어를 찾아 제거하고 제조사의 패치 개발과 배포를 지원하는 ‘C-클린(C-Clean)’ 서비스를 추진한다. 정부는 취약점 발견부터 패치 안내까지 걸리는 시간을 평균 4개월 이상에서 3일 이내로 줄이는 것을 목표로 제시했다.
공공 납품 절차에 SBOM 반영…민간 자율검증 시범 운영
정부는 2026년부터 과기정통부와 국정원을 중심으로 ‘범정부 SW 공급망 보안협의체’를 구성한다. 한국인터넷진흥원과 금융보안원 등 전문기관이 참여해 공급망 위협과 정책 과제를 논의한다.
민간 전문가와 기업이 참여하는 ‘민·관 합동 SW 공급망 보안 포럼’도 운영한다. 자동차와 의료 등 산업별 자율협의체를 구성해 분야별 보안 수칙과 점검 방안을 마련할 계획이다.
2027년에는 안전한 개발과 공급망 관리를 확인하는 자율 신청 방식의 검증제도를 시범 운영한다. 시범 운영 결과를 바탕으로 정보보호 관리체계(ISMS)와 클라우드 보안인증(CSAP), 사물인터넷(IoT) 보안인증 등에 공급망 보안 평가 항목을 반영하는 방안을 추진한다.
공공 정보화사업에는 SBOM 제출과 취약점 대응 절차를 도입한다. 기관별로 소프트웨어 취약점 관리 담당관을 지정하고 제품 도입부터 운영까지 적용할 공급망 사이버보안 위험관리 절차도 마련한다.
공공기관 도입 제품을 대상으로 운영하는 보안적합성 검증제도에는 안전한 소프트웨어 개발 방법론 준수 여부와 SBOM 제출 등 공급망 보안 기준을 추가한다. 해킹 사고가 자주 발생하거나 국가기관 전산망에 큰 피해를 줄 수 있는 제품으로 검증 대상도 확대한다.
정부는 미국과 유럽연합, 영국, 일본 등과 공급망 위협정보를 공유하고 국내 보안인증과 해외 제도의 상호인정을 추진한다. 기업이 유럽연합 사이버복원력법과 미국 FDA 보안 요건 등에 대응할 수 있도록 국가별 제도 분석과 컨설팅도 제공한다.
임정규 과기정통부 정보보호네트워크정책관은 “복잡해지는 소프트웨어 공급망을 노린 사이버 위협이 증가하고 AI를 활용한 빠르고 광범위한 사이버공격이 본격화되는 상황에서 공급망 보안이 어느 때보다 중요해졌다”며 “로드맵 발표를 기점으로 공급망 보안을 지속해서 강화하겠다”고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
