정부가 갈수록 중요해지는 소프트웨어(SW) 공급망 보안 도입을 돕기 위한 가이드라인을 내놨다. 특히 정부가 디지털플랫폼정부 주요시스템 구축에 SW 자재명세서(SBOM)를 시범 적용에 나서는 등 가이드라인을 계기로 SW 공급망 보안 강화에 속도를 낼 것으로 보인다.
과학기술정보통신부·국가정보원·디지털플랫폼정부위원회가 민·관 협력을 통해 'SW 공급망 보안 가이드라인 1.0'을 발간했다.
이번 가이드라인은 미국·유럽 등 해외 주요국의 SBOM 제출 의무화 등에 대응해 정부·공공기관과 기업이 자체적으로 SW 공급망 보안 관리 역량을 갖출 수 있도록 지원하는 게 목적이다.
가이드라인엔 SBOM 유효성 검증, SW 구성요소 관리 요령 및 SBOM 기반 SW 공급망 보안 관리 방안 등을 수록했다. SBOM 기반 SW 공급망 보안 관리체계 도입 시 시행착오를 최소화하기 위해서다.
SBOM은 대표적인 SW 공급망 위험관리 방안이다. SW 개발 시 오픈소스 등 외부 SW를 포함해 개발하고 있어 SW 공급망의 복잡성이 커지는 동시에 악성코드·보안취약점 관리 필요성이 대두됐다. SW 개발-공급(유통)-운영 등 공급망 전반에 걸쳐 SBOM을 활용해 SW 구성요소를 안전하게 관리할 수 있다.
구체적으로 SW 개발사는 SW 구성요소의 최신 버전 여부를 식별하고, 새로운 보안취약점에 신속하게 대응할 수 있다. 운영사는 새로 발견된 보안취약점에 대한 잠재적 위험 노출 여부를 쉽고 빠르게 확인, 관리가 가능하다.
이번 가이드라인은 SBOM 실증과 SW공급망 보안 테스트베드 시범 운영 결과 등을 반영한 실무 안내서라는 점이 특징이다. 실증 등을 바탕으로 △SBOM 신뢰성을 높일 수 있는 적합한 SBOM 도구 선정 △공급망 단계별로 SBOM 생성·공급할 수 있는 관리체계 구축 권고 △SBOM 데이터베이스(DB)와 미국 국립표준기술원(NIST) 보안취약점 DB 등 연계 체계 구축 필요 등 SBOM 기반 SW 공급망 보안 관리 요령을 제안했다.
가이드라인엔 정부의 SW 공급망 보안 활성화 지원책도 담았다. 국내 중소기업이 SW 공급망 보안을 위해 전문인력과 SBOM 생성 도구 등 전용 시설을 갖추는 데 비용 부담이 크다. 이에 정부는 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW 공급망 보안 관리체계를 구축하고 기업 지원 서비스를 제공하고 있다.
정부는 디플정 주요시스템 구축 시 SBOM을 시범 적용하고, 우수사례를 도출해 발전시켜나갈 계획이다. 다만 정부는 체계적 준비 없이 성급하게 SBOM을 도입할 경우 SW 개발기간 증가와 원가 상승 등으로 기업에 부담이 될 수 있다고 보고 있다. 이에 SBOM 적용 지원을 강화하며 SW 공급망 보안 저변을 확대하는 한편 해외 주요국의 제도화 동향과 국내 산업 성숙도를 고려해 점진적으로 제도화를 준비해나갈 방침이다.
정부 관계자는 “올해 하반기 산·학·연 전문가들이 참여하는 범정부 합동 태스크포스(TF)를 구성하겠다”면서 “세부적인 정부지원 방안, 제도 추진방향 등에 대한 심도 있는 논의를 진행해 'SW 공급망 보안 로드맵'을 마련하겠다”고 밝혔다.
조재학 기자 2jh@etnews.com