소프트웨어(SW) 공급망 위협이 커지고 있는 가운데 SW 자재명세서(SBOM) 도입 여부에 관심이 쏠리고 있다. 해외 주요국은 SW공급망 보안 제도화에 나서고 있는 반면 한국은 인식 제고 등 걸음마 단계에 있어 보안 강화를 위한 정책에 속도를 내야 한다는 목소리가 나온다.
6일 과학기술정보통신부와 정보보호업계 등에 따르면, 정부는 조만간 SW 공급망 보안 가이드라인을 발표할 예정이다. 앞서 과기정통부와 국가정보원, 디지털플랫폼정부위원회 등은 지난달 18일 공개 간담회를 갖고 업계 의견을 수렴하는 등 가이드라인 마련 작업이 막바지에 이르렀다.
가이드라인엔 △추진배경 △공급망 위험 관리 방안 △SBOM 기반 SW 공급망 실증 사례 △SBOM 기반 SW 공급망 보안 활성화 지원책 등이 담길 예정이다.
구체적으로 공급망 보안 필요성과 주요국 공급망 보안 정책 동향을 살펴보고 SW 구성요소 신뢰성 확보 방안과 SBOM 기반 SW 공급망 강화 방안을 제시한다. 또 기업지원 허브(판교)와 디지털헬스케어 보안 리빙랩(원주), 국가사이버안보협력센터 테스트베드(판교) 등 정부의 SW 공급망 보안 지원책도 소개한다. SW 공급망 보안 중요성과 관리 체계 구축 필요성에 대한 인식을 제고하는 게 목적이다.
한국이 SW업계 인식 전환에 머무르고 있는 것과 달리 미국·유럽연합(EU) 등 주요국은 SW공급망 법제화를 추진하고 있다. 미국은 연방정부에 납품되는 SW제품의 보안 강화를 위한 '지침준수'와 '자체 증명' 등 제출 의무화를 연내 시행한다. EU는 지난 3월 디지털 기기의 사이버복원력법안(CRA)을 확정·승인했으며 이사회 승인을 거치면 2026년 하반기 효력이 발생할 것으로 예상된다.
한국도 SBOM 도입 제도화 등 SW공급망 강화에 속도를 내야 한다는 목소리가 높다. SW공급망 보안은 SW개발사 존립 여부에 직결되기 때문이다.
한국정보보호학회 공급망보안연구회 회장인 이만희 한남대 교수는 “SBOM 도입은 SW 개발자는 물론 사용자 모두에게 유용하다”면서 “개발자가 자신도 모르게 취약한 코드를 넣을 수 있고, 사용자는 구매 전 취약점 여부를 확인할 수 있는 데다 추후 취약점이 발견됐을 때 빠르게 조치할 수 있다”고 강조했다.
그러면서 이 교수는 “오픈소스에 대한 공격이 늘어나는 등 악성코드가 SW에 들어갈 가능성이 커진 만큼 SBOM 제도화가 필요하다”고 덧붙였다.
과기정통부는 SW업계 부담을 최소화하면서 보안을 강화하는 방안을 고심 중이다. 먼저 수출장벽에 걸리지 않도록 기업을 지원할 방침이다. 일례로 미국 식품의약청(FDA)이 의료기기 SBOM을 요구하고 있어, 미국 시장에 진출하려는 국내 기업은 디지털헬스케어 보안 리빙랩에서 SBOM 생성을 지원받을 수 있다.
과기정통부 관계자는 “SBOM 생성 도구 개발과 SW공급망 보안 관리 체계 구축 등이 선행돼야 하기 때문에 시간이 더 필요하다”면서 “SBOM을 제도화하기엔 시기상조”라고 말했다.
그러면서 이 관계자는 “중소기업이 자체적으로 SBOM 도구를 구매하고 SBOM 생성·관리할 수 있도록 지원하는 시스템을 구축하거나 실증 사업을 실시하는 등 SW 공급망 보안 강화 사업을 내년도 예산에 반영할 계획”이라고 덧붙였다.
조재학 기자 2jh@etnews.com
-
조재학 기자기사 더보기