국내 기업이 소프트웨어(SW)를 개발할 때 개발 SW 중 약 70%는 오픈소스를 이용한다고 한다(정보통신산업진흥원(NIPA), 2023). 오픈소스는 깃허브 등 사이트를 통해 세계 이용자들이 쉽게 활용할 수 있지만 오픈소스에 악성코드와 보안취약점이 빠르고 쉽게 확산되는 문제점도 있다.
세계적으로 웹, 애플리케이션(앱)뿐만 아니라 가전제품과 통신장비 등에 사용되는 임베디드 SW 분야까지 오픈소스 사용 비중이 증가하면서 디지털 제품과 온라인 서비스의 위협도 증가 추세다. 최근 매일 사이버 보안 사고가 이어지고 있고 SW 개발-유통(업데이트)-운영 등 SW 공급망에 대한 사이버 공격 또한 빈번하게 발생하고 있다. 특히, 2020년 발생한 솔라윈즈(SolarWinds) 해킹 사건은 SW 공급망의 취약점을 악용한 대표적 사이버보안 사고로 해커들은 SW 업데이트 과정에 개입해 악성 코드를 배포함으로써 미국 정부 기관은 물론이고 민간 기업들에게도 큰 피해를 입혔다.
이와 같이 변화된 사이버 위협에 대응하기 위해 미국, 유럽을 중심으로 SW 공급망 보안을 확보하기 위해 다양한 노력을 기울이고 있다. 미국은 연방정부에 납품하는 SW공급자에게 안전한 SW개발 체계를 준수했다는 자체증명서(Self-attestation Form) 제출을 의무화했고, EU는 SBOM 제출을 의무화하는 법안을 발의하는 등 제도화를 추진하고 있다. 우리 정부도 발 빠르게 움직이고 있다. 디지털플랫폼정부위원회, 과학기술정보통신부, 국가정보원 합동으로 5월 13일 '소프트웨어 공급망 보안 가이드라인 1.0'을 배포하며 중요한 발걸음을 내디뎠다.
이 가이드라인은 SW의 구성 요소를 명세화(SBOM:Software Bill of Materials)하고 활용하는 방법과 SBOM 최소 요건, SW 보안취약점 점검, 정부지원 테스트베드 활용 등에 관한 사항을 담고 있고, 또한 지난해 실증 사업을 통해 검증된 사례도 수록하여 현장 적용이 용이하다는 점에서 세계적으로 가장 앞선 지침서기도 하다. 정부는 판교 기업지원허브 등 3개 테스트베드를 통해 SBOM 인프라를 제공하고 SBOM 생성과 보안취약점 점검을 지원하는 등 인프라가 부족한 중소기업 및 스타트업을 지원한다.
이 가이드라인과 테스트베드는 SW 산업 종사자들에게 SW 공급망 보안에 대한 개념과 관리 체계 등에 대한 이해와 공감대를 형성한다. 나아가 이러한 공감대는 SW 산업의 건강한 성장을 촉진하고, SW 보안에 대한 인식을 높이는 역할은 물론이고 기업간 협력을 더욱 원할하게 지원하는 윤활제로 작용할 것으로 기대한다.
LG전자와 같은 대기업들은 자체적으로 개발한 SBOM 도구와 관리 절차를 기반으로 SW 보안취약점에 대응하고 있다. 오늘날 SW 개발은 오픈소스 SW의 활용 및 다수의 협력 기업이 참여하는 협업 체계로 이뤄져 있다. 따라서 SW 공급망 보안은 특정 기업이 잘 하는 것보다는 SW 공급망 참여자들 각자가 자기 역할을 잘 하는 것이 중요하다.
이번 가이드라인의 배포를 계기로 협력 기업들도 SW 보안에 대한 이해도를 높일 수 있는 계기가 되고, 이를 통해 SW 공급망 보안을 확보할 수 있기를 기대하고 있다. 향후 국내 중소기업들도 SBOM을 도입하면 SW 구성 요소를 명확하게 파악할 수 있게 돼, 개발 과정에서부터 보안취약점을 미리 찾아내고 대응할 수 있게 될 것이다. 이는 결국 국내 SW의 전반적인 품질 향상으로 이어지고 더불어 이런 SW 공급망의 투명성은 해외 시장에서의 신뢰도를 높이는 데도 중요한 역할을 할 것으로 기대한다.
앞으로 SBOM 활용이 정보통신기술(ICT) 산업 전반에 신속하게 정착되기를 바란다. 이를 위해서는 중소기업에 대한 정부 지원뿐만 아니라 SW 및 정보보호산업계 등과 민관 협력도 긴밀히 요구된다.
김경애 LG전자 CTO부문 연구위원 kyoungae.kim@lge.com