국내외를 불문하고 공급망이 비상이다. 제2의 요소수 사태나 반도체 부품 문제가 아니다. 소프트웨어(SW) 공급망이 비상이다. SW 공급망은 SW 제품을 생산하는 사람, 장치, 시스템의 집합을 말하며, 개발자가 코드를 작성하는 때부터 해당 코드가 제품으로 생산된 후 사용자 시스템에서 실행되는 때까지 일어나는 모든 일을 의미한다.
그럼 왜 SW 공급망이 비상일까. 해커들이 SW 공급망을 주요 공격 경로로 사용하고 있기 때문이다. 북한이 배후로 추정되는 3CX 화상회의 애플리케이션 대상 연쇄 공급망 공격(2023년)이 있었고, 북한 해커들이 암호화폐 탈취를 위한 공격의 일환으로 SW 공급망을 이용하고 있다는 뉴스도 종종 들리고 있다. 이처럼 SW 공급망 공격은 우리가 모르는 사이에 우리가 사용하는 SW 보안취약점을 악용해 우리의 정보를 탈취해가는 매우 위험한 대표적인 사이버 공격이다.
SW 공급망으로 인한 SW 수출에도 비상이 걸렸다. 미국 연방정부는 물론이고 포천 500대 기업의 대부분이 사용 중인 솔라윈즈 SW 제품에 대한 2020년 공급망 공격은 역사상 최악의 공급망 공격 사건으로 회자되고 있으며, 이때 큰 피해를 입은 미국은 대통령 행정명령 14028(2021년 5월)을 발표하고 SW 공급망 강화에 적극적으로 나서고 있다. 이를 기반으로 SW 공급망에 대한 보안취약점 관리에 되지 않은 SW는 연방정부에 납품할 수 없도록 하는 제도를 올해 6월부터 시작한다. 유럽연합(EU)도 EU 역내에 판매되는 디지털 제품 또는 서비스에 대한 보안취약점 관리와 함께 SW 자재명세서(SBOM) 관리를 의무화하는 사이버복원력법(Cyber Resilience Act)의 EU 이사회 통과를 목전에 두고 있다.
우리나라는 이런 비상 상황을 범정부 협력을 통해 매우 현명하게 대처하고 있다. 정부는 지난 13일 'SW 공급망 보안 가이드라인 v1.0'을 배포했다. 이번 가이드라인은 국가정보원, 과학기술정보통신부, 디지털플랫폼정부위원회가 공동으로 작성한 첫 번째 가이드라인으로서 그 의미가 매우 높다고 할 수 있다. 특히 사이버 안보를 담당하고 있는 국가정보원과 정보보호산업 진흥을 담당하는 과학기술정보통신부는 많은 부분에서 협력하고 있다. SW 공급망 보안에 관해 두 기관의 정책 결정자들은 국가적 정책대응 사안에 공동 협력 대응키로 발 빠르게 뜻을 모았고, 담당 실무자들은 협력을 위해 최선을 다했다. 나아가 디플정위도 참여해 유일무이하게 3개 정부 기관이 공동으로 마련한 가이드라인이 탄생하게 됐다. 집필에 참여한 민간 전문가들과 공무원 분들께 이 지면을 빌어 진심으로 감사의 말씀을 드린다.
가이드라인의 주요 내용은 SW 공급망 보안의 추진배경, SW 공급망 위험관리 방안, SBOM 기반 SW 공급망 보안 실증사례, SBOM 기반 공급망보안 활성화 지원 등으로 구성돼 있다. 정부가 이 가이드라인을 통해 SW 관련 업계 및 사용 기관에 SW 공급망 위험 관리가 필요한 상황인 것을 알리고, 이를 위해 SW 개발 환경에 대한 보안대책을 강구하고 SBOM 기반의 SW 공급망 보안 관리체계 확산의 필요성에 대한 인식을 제고하는 것이다.
정부는 SW 공급망 보안 가이드라인 v1.0을 통해서 우리나라의 SW 공급망 보안을 위한 주춧돌을 놓았다. 이제 이 주춧돌 위에 기둥과 서까래, 지붕이 차례로 올라가야 한다. 이를 위해 향후 정부는 산학연 전문가들과 여러 기관, 기업들의 의견을 수렴하고 국제적 흐름에 발맞춰 최적의 SBOM 도입 정책을 마련할 계획이기에 많은 기대와 관심이 필요하다.
이만희 한남대 컴퓨터공학과 교수·한국정보보호학회 공급망보안연구회 회장 manheelee@hnu.kr