(출처 : AI 생성 이미지)

SW 공급망 보안 정책 구체화…정부, 로드맵 곧 발표

소프트웨어(SW) 공급망을 노린 사이버 공격이 늘어나면서 공급망 보안의 중요성이 더욱 커지고 있다. 이에 정부는 지난해 공개한 SW 공급망 보안 가이드라인과 실증사업을 기반으로 구체적인 공급망 보안 로드맵을 올해 1분기 안에 발표할 예정이다.

공급망 위협, 구조적 리스크로 등극

공급망 보안이 주목받는 이유는 해킹 공격의 증가 때문만은 아니다. 산업 구조 자체가 공격자에게 유리한 방향으로 바뀌고 있기 때문이다. 개발, 운영, 유지보수, 테스트가 외부로 분리되면서 기업 내부 보안만으로는 위험을 통제하기 어려운 환경이 됐다. 실제로 협력사 PC 감염, 외주 서버 노출, 유지보수 계정 탈취를 시작점으로 본사 시스템 접근이나 개인정보 유출로 이어지는 사례가 반복되고 있다.

대표적인 사례로는 2020년 발생한 솔라윈즈 공급망 공격이 꼽힌다. 공격자는 솔라윈즈의 네트워크 관리 소프트웨어 ‘오리온(Orion)’ 업데이트 과정에 악성코드를 삽입했고, 이를 통해 해당 제품을 사용하던 조직들의 내부망에 침투했다. 이 공격으로 미국 재무부, 미국 상무부, 국토안보부 등 미국 주요 정부 기관을 비롯해 마이크로소프트와 보안 기업 파이어아이 등 글로벌 IT 기업까지 약 1만 8000개 이상의 조직이 영향을 받은 것으로 확인됐다. 모두 정상적인 보안 업데이트를 적용했을 뿐이었지만 그 과정이 공격 경로로 악용되면서 공급망이 곧 침투 통로가 됐다.

국내에서는 지난해 프랙 보고서에 등장한 LG유플러스의 계정 및 권한 관리 서버(APPM) 침해 사고를 최근 사례로 볼 수 있다. 공격은 LG유플러스 내부 시스템이 아닌 외부 협력사인 시큐어키 관련 시스템에서 시작됐다. 대형 통신사 자체보다 협력사가 공격자의 경로로 활용됐다는 점에서 전형적인 공급망 공격 사례로 해석된다.

이 같은 구조적 취약성은 다양한 위협 인텔리전스 분석에서도 확인된다. 김재기 S2W 위협인텔리전스 센터장은 지난해 11월 국회에서 열린 국가미래전략기술포럼에서 “해커는 보안이 견고한 본사가 아니라 외주·협력업체를 먼저 노린다”며 “협력사 한 곳의 감염이 대기업 전체를 위험으로 끌고 들어가는 구조가 이미 일상화됐다”고 지적했다. 유지보수 업체 서버 노출 하나로 다수 기관의 인프라 정보가 함께 노출되거나, 외주 개발업체 감염을 통해 협업 도구와 소스코드 관리 시스템 계정이 연쇄적으로 탈취되는 것이다.

이 같은 구조에서는 개별 기업의 보안 수준보다 공급망 전체의 투명성과 관리 체계가 중요해진다. 공급망 보안은 이제 보안팀만의 숙제가 아니라, 기업의 경영과 지속성에 직접 영향을 미치는 리스크 관리 영역으로 옮겨가고 있다.

가이드라인, 실증 이어 정책 로드맵 추진 

정부도 최근 공급망 보안을 단일 기술 문제가 아닌 구조적으로 관리해야 하는 영역으로 보고 있다. 국가정보원과 디지털플랫폼정부위원회, 한국인터넷진흥원(KISA)은 2024년 5월 13일 ‘SW 공급망 보안 가이드라인’을 발표하며, SW 공급망 보안을 독립적인 관리 대상으로 공식화했다. 이후 가이드라인을 기준으로 실증과 정책 설계를 단계적으로 추진해왔다.

가이드라인의 핵심은 단순히 ‘소프트웨어 자재명세서(SBOM)’ 제출 여부를 확인하는 데 있지 않다. ▲SW 구성요소 식별 ▲외부 모듈·오픈소스 사용 현황 관리 ▲개발·빌드·운영 단계별 변경 이력 추적 ▲취약점 발생 시 영향 범위 분석과 대응 절차 정립 등 공급망 전반을 상시적으로 관리할 수 있는 운영체계 구축을 요구한다. SBOM은 이 체계를 가능하게 하는 기본 데이터이자 출발점으로 제시됐다.

가이드라인은 공급망 보안을 사고 대응이 아니라 사전 관리 영역으로 정의했다. 개발 단계에서부터 위험 요소를 식별하고, 운영 환경에서 구성요소 변화와 취약점을 지속적으로 추적하지 않으면 공급망 리스크를 통제하기 어렵다는 것이다. 이는 이후 SBOM 기반 실증 사업과 정책 로드맵 논의로 이어지는 기준점 역할을 하고 있다.

이러한 가이드라인과 실증 결과를 바탕으로, 정부는 공급망 보안을 단계적으로 제도화하는 로드맵을 올해 1분기 내로 발표할 예정이다. 공급망 보안 로드맵은 기존에 나온 가이드라인과는 성격이 다르다. 한국인터넷진흥원(KISA) 관계자는 “앞서 공개된 소프트웨어 공급망 보안 가이드라인이 SBOM 개념과 기본 운영 모델을 제시하는 데 초점을 맞췄다면, 이번 로드맵은 정부 차원에서 공급망 보안을 어떻게 설계하고 육성할 것인지에 대한 중·장기 정책 계획에 가깝다”고 설명했다.

이어 “로드맵에는 공급망 보안을 단계적으로 확산하고 고도화하는 장기적인 방향이 담길 것”이라며 “ 범부처 차원의 계획이 될 가능성이 크다”고 말했다. 이어 “여러 부처와 산업계가 함께 논의 중인 사안으로, 늦어도 올해 1분기 내에 공급망 보안 로드맵을 공식 발표할 예정”이라고 덧붙였다.

업계에서는 공공 영역을 시작으로 SBOM 적용 대상과 범위, 단계적 확산 방안이 로드맵에 담길 가능성이 큰 것으로 보고 있다. 전 산업에 즉각적인 의무를 부과하기보다, 공공과 수출 연계 영역에서 운영 경험을 축적하고 이를 기준으로 민간으로 확산시키는 방식이다. 이미 해외 시장에서는 규제보다 고객과 거래 조건이 먼저 SBOM을 요구하고 있는 만큼, 정책은 이를 뒷받침하는 기준선 역할을 하게 될 가능성이 크다.

해외에선 이미 요구사항…한드림넷의 일본 사례

공급망 보안 요구는 글로벌 시장에서 먼저 빠르게 움직이고 있다. 지난해 KISA가 진행한 해외 규제 대응 관련 SBOM 실증 사업에 참여한 한드림넷은 주력 국가 중 하나인 일본 시장 대응 과정에서 SBOM이 ‘선택’이 아닌 ‘전제 조건’으로 작동하고 있다고 전했다.

한드림넷 관계자는 “일본은 SW 공급망 보안 영역을 제도화해, 사용하는 SW에 어떤 오픈소스가 포함돼 있고 취약점이 있는지를 확인할 수 있도록 요구한다”며 “이를 충족하지 못하면 일본 내에서 거래 자체가 어려워진다”고 설명했다. 일본의 공급망 보안 관련 주요 정책으로는 일본의 사물인터넷(IoT) 보안 인증 제도인 ‘JC-STAR’가 대표적 사례다.

그는 “SBOM은 해킹을 완전히 막는 기술이라기보다 공격 비용과 시간을 높이는 장치”라며 “공급망 침투를 함부로 할 수 없게 공격자의 문턱을 올리는 역할을 한다”고 말했다. 공급망 보안이 개발사만의 문제가 아니라 SW를 사용하는 기업의 책임으로 이동하고 있다는 설명이다.

국내에서도 비슷한 제도로 KISA가 추진 중인 ‘IoT 보안 인증’ 제도가 있다. 다만 이 제도는 공급망 전체의 보안에 특화된 제도라기보다는 국내에서 발전이 빠른 ‘홈 네트워크 기기 보안’에 좀 더 초점을 맞추고 있다.

SBOM ‘운영 모델정리 단계, 국내 실증도 진행

SBOM은 해외에선 이미 생존의 문제가 된 만큼 국내에서도 ‘어떻게 운영할 것인가’에 대한 실질적인 과제가 남아있다.

KISA는 지난해 SBOM 운영 모델 실증 관련 발표를 통해 기업 내부에서 인지되지 않았던 오픈소스 사용, 방치된 취약점, 협력사 간 정보 단절 같은 공급망 위험을 실체로 확인했다고 밝힌 바 있다.

당시 이동화 KISA 공급망안전정책팀 팀장은 “SBOM을 적용하면 기업 내부에서도 파악하지 못했던 위험 요소들이 드러난다”며 “공급망 보안 체계를 갖추기 위한 출발점이 되는 도구”라고 강조했다.

KISA가 실증 과정에서 정리한 방향은 체크리스트 기반의 ‘문서’가 아니라 ‘운영의 흐름’이다. 외부 모듈·오픈소스 도입 단계에서 SBOM을 생성, 개발(CI/CD) 과정에서 코드·바이너리 기반 SBOM을 자동 생성한 뒤, 운영 단계에서 공개된 취약점(CVE) 정보를 실시간으로 매칭해 개발팀 조치로 이어지도록 위험 추적 흐름을 표준화했다. 이 모델을 적용한 일부 기업은 취약점 개선 비율이 크게 높아진 것으로 나타났다.

공급망 위험이 제품보다 개발 환경에서 시작된다는 점도 확인됐다. KISA는 기술지원 과정에서 대규모 오픈소스 컴포넌트를 식별했고, 그중 일부는 실제 공격에 악용된 이력이 있는 고위험 취약점으로 분류됐다. 이 팀장은 “한 곳에서 취약한 요소가 유입되면 자동화된 파이프라인을 통해 그대로 고객에게 전달될 수 있다”고 설명했다.

민간에서도 이 운영 모델을 실제 서비스 환경에 적용하는 시도가 이어지고 있다. 지난해 KISA의 국내 공급망 보안 모델 운영 실증 사업에 참여한 AI스페라는 자사의 공격표면관리(ASM)와 위협 인텔리전스(TI) 플랫폼인 ‘크리미널 IP(Criminal IP)’에 SBOM 체계를 연계한 운영 모델을 제시했다.

AI스페라는 크리미널 IP에 포함된 SW 구성 요소를 식별하고, 각 컴포넌트의 버전·출처·라이선스 정보를 SBOM 형태로 관리할 수 있는 구조를 마련했다고 밝혔다. 이를 통해 외부에서 신규 취약점이 공개될 경우 해당 구성 요소의 실제 포함 여부와 영향 범위를 신속하게 판단하고, 대응 우선순위를 설정할 수 있도록 했다는 설명이다.

AI스페라가 강조한 지점은 ‘SBOM 생성’ 자체보다 SBOM을 운영 프로세스에 붙였다는 점이다. AI스페라 관계자는 “SW 자산 관리와 변경 이력 추적, 취약점 대응 과정을 하나의 흐름으로 정리해 ‘무엇을, 언제, 누가, 왜 변경했는가’를 재현 가능한 형태로 남기고, 이를 감사·규제 대응의 증빙 체계로 활용할 수 있도록 설계했다는 것이다.

보안업계 “체크리스트가 아닌, 실제 운영이 핵심

산업계에서는 SBOM이 보안업계처럼 경험을 가진 특정 업종에만 집중될 경우, 실효성이 떨어질 수 있다는 우려도 나온다. 한국정보보호산업협회(KISIA) 관계자는 “SBOM 논의가 보안 기업 중심으로만 흘러가는 것은 다소 아쉬운 지점”이라고 말했다.

보안 기업은 공통평가기준(CC)인증 등 각종 인증 과정에서 취약점 대응 경험이 축적돼 있지만, 일반 기업은 취약점이 발견됐을 때 무엇을 어떻게 해야 할지 등 처음부터 막히는 경우가 많다는 설명이다.

그는 “SBOM을 단순 도구 도입이 아니라 컨설팅·교육·운영 경험까지 포함한 지원 체계로 접근해야 한다”며 “공공과 국가 중요 시스템에서 먼저 운영 경험이 쌓이고, 그 결과가 산업 전반으로 확산돼야 한다”고 강조했다.

최근 KISIA는 ‘2025 국내외 SW 공급망 보안 현황 및 SBOM 도구 실증 결과 보고서’를 발간했다. 보고서는 SBOM 생성 자체보다 어려운 것은, 취약점의 영향 범위를 판단하고 조치로 연결하는 운영이라고 설명한다. 특히 SBOM이 취약점 관리, 패치 전략, 릴리즈 승인 절차와 함께 돌아갈 때 비로소 의미가 생긴다고 분석했다.

이처럼 전문가들은 공급망 보안을 단순히 SBOM을 만들 것인가의 문제가 아니라 SBOM을 중심으로 무엇을 상시적으로 운영할 것인가의 문제로 보고 있다. 취약점이 발생했을 때 누가 판단하고, 무엇을 먼저 고치며, 어떤 근거로 릴리즈를 승인할 것인지까지 모든 체계가 유기적으로 연결돼야 한다는 것이다. 조만간 발표될 정부의 공급망 보안 정책 로드맵에 얼마나 구체적으로 내용이 담겨질 지 주목된다.

<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.