정부가 갈수록 고조되는 소프트웨어(SW) 공급망 위협에 대응할 수 있도록 가이드라인을 내놨다. SW 공급망 보안 핵심으로 떠오른 SW 구성명세서(SBOM) 유통 지원을 위한 'SW 공급망 거점'을 구축하고 SW 개발생명주기 관리를 SW 공급망 보안 관리 체계로 확장할 계획이다.
과학기술정보통신부·국가정보원·디지털플랫폼정부위원회는 한국인터넷진흥원(KISA)과 함께 18일 서울 종로구 국가과학기술자문회의에서 'SW 공급망 보안 가이드라인 간담회'를 개최했다.
이 자리엔 강도현 과기정통부 2차관, 윤오준 국정원 3차장, 이용석 디플정위 추진단장, 신용석 대통령실 사이버안보비서관 등 관계부처와 정보통신(ICT), 정보보호, 정유업, 방위산업 등 다양한 산업 분야 전문가들이 참석했다.
디지털전환(DX) 가속화로 국민 일상생활은 물론 산업 전반에서 SW 비중이 높아졌다. 특히 모든 디지털 제품·서비스가 네트워크 연결됨에 따라 SW 보안 취약점을 악용하거나 SW공급망에 침투해 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 커지고 있다.
미국·유럽 등 해외 주요국은 발빠르게 공급망 보안 대응에 나섰다. 미국은 연방정부 납품 SW의 보안 강화를 위한 '지침 준수'와 '자체 증명' 제출을 연내 시행할 예정이다. 특히 식품의약청(FDA)은 의료기기 시장 출시 전 SBOM을 요구한다. 유럽은 SBOM 제도화 막바지에 이르렀다. 일본은 의료와 자동차 분야에서 SBOM 실증과 적용을 확대하고 있다. 지난해 12월엔 미국·일본·인도·호주 등 4개국 회담에서 '안전한 SW를 위한 공동 원칙'을 재확인한 바 있다. 이 때문에 국내 SW기업이 무역장벽에 맞닥뜨릴 수 있다는 우려도 제기된다.
이에 과기정통부·국정원 등 관계부처는 SW 공급망 공격에 대응해 공급망 투명성을 확보해 SW 품질을 높이고 해외 무역장벽도 극복할 수 있도록 지원하기 위해 가이드라인을 마련했다.
가이드라인에선 SBOM 구성방안을 제시했다. SBOM은 식품 영향정보처럼 SW에 어떤 부품이 포함됐는지 알려주는 것으로, 개발사-공급사-운영사 간 정보 비대칭성을 해결해주는 게 핵심이다. SW부품 간 포함 관계를 확인할 수 있어 취약점 등 문제 발생 시 빠르게 대응할 수 있다.
특히 가이드라인은 개발사-공급사-운영사가 SBOM 정보를 스스로 유통하고 정부는 산업별 'SW 공급망 거점'을 구축해 지원할 것을 제시했다. 거점은 규제가 아닌 새로운 위기 발생 시 빠르게 조치할 수 있도록 체계적으로 자동화해 지원하는 역할을 맡는다. 기업의 지적재산권(IP) 침해가 발생하지 않도록 정부는 공급망 생태계에 최소한의 지원 기능을 바탕으로 관여한다는 방침이다.
SBOM으로 관리해야 할 최우선 순위는 상용 소프트웨어 개발 키트(SDK), 응용 애플리케이션 인터페이스(API) 등 타사 라이브러리다. 오픈소스 등은 우선 시장 자율에 맡기고 신뢰성 확보가 가능하도록 지원하는 방안을 좀 더 면밀히 살펴볼 예정이다.
SW 공급망 보안과리 체계 구축방안도 담겼다. 개별 거점을 통합하는 SW 공급망 위기관리센터를 설립하는 게 골자다. 이는 사이버 복원력을 확보하는 기반을 마련하기 위해서다. 센터는 SW 보안과 관련된 체계적인 로드맵을 수립하고 이해관계자와 정보 교류, 교육·홍보 등을 통해 정보 격차 해소를 지원한다.
강도현 과기정통부 2차관은 “가이드라인이 기업활동을 저해하는 규제가 아니라 기업 자체적인 보안활동을 강화해 국산 SW의 품질을 높이고, 국제적인 경쟁력을 확보하는 기반이 될 수 있도록 중소기업 지원에 노력을 아끼지 않겠다”고 말했다.
윤오준 국정원 3차장은 “최근 북한의 고도화된 해킹조직에 의한 우리나라 국가·공공기관 대상 공급망 위협이 심화하고 있다”며 “국내 산업계의 부담을 줄이면서도 사이버안보를 강화할 수 있는 공급망 보안 대책을 마련하겠다”고 말했다.
이용석 디플정위 추진단장은 “안전하고 신뢰할 수 있는 디지털플랫폼정부 구현을 위해 시스템 구축 시 SBOM을 시범적으로 활용해 모범사례를 만들겠다”고 말했다.
조재학 기자 2jh@etnews.com