정부가 소프트웨어(SW) 공급망 보안 강화를 위해 취약점 관리 체계 고도화에 나선다. SW 구성요소명세서(SBOM)와 연계해 취약점 데이터베이스(DB)를 구축하는 게 핵심이다.
18일 한국인터넷진흥원(KISA)과 국회 등에 따르면, KISA는 올해 업무계획 중 하나로 취약점 관리 체계 고도화를 통해 SW 공급망 위협에 대응하겠다는 내용을 담았다. 구체적으로 국내 유통되는 상용 SW 등을 대상으로 SBOM과 연계한 국가 취약점 DB를 구축하겠다는 계획이다.
정부가 SW공급망 보안 강화 사업을 본격 추진하는 것은 초연결 시대 도래로 디지털 환경이 변했고 이를 노린 공격이 활발하기 때문이다. 디지털 제품·서비스의 개발-공급(유통)-운영 등 공급망이 전 세계로 분산해 있어 관리 책임이 복잡해진 데다 무결성에 대한 신뢰도 떨어지고 있다. 또 북한 해킹그룹 라자루스가 지난 2022년 국내 금융SW의 취약점을 악용해 국가·공공기관 등 60여곳에서 개인용컴퓨터(PC) 200여대를 해킹한 사실이 드러나기도 했다.
더욱이 SW공급망 위협은 갈수록 커지고 있다. 안랩·SGA솔루션즈 등 국내 주요 사이버 보안 기업은 올해 사이버 위협으로 SW공급망 보안을 꼽았다. 개발사를 타깃으로 한 한 번의 공격으로 공급망 내 여러 조직 운영에 타격을 줄 수 있어, 해커 입장에선 최소 비용으로 최대 효과를 낼 수 있는 공격 방식이라서다.
KISA는 SBOM 연계형 국가 취약점 DB를 구축해 공급망 침해사고 피해 확산을 방지하는 데 활용할 방침이다. SBOM은 SW 전체 구성요소를 목록화한 것으로, 다양한 구성요소의 세부 사항과 공급망 관계를 파악할 수 있어 취약점 등 문제 발생 시 빠르게 대응할 수 있도록 돕는다.
우선 KISA는 올해 SBOM을 기반으로 한 SW공급망 보안 사업을 추진한다. 이를 통해 확보한 SW 구성요소와 KISA가 관리하는 한국형 취약점(KVE)을 비교·분석해 노출 우려가 있는 취약점을 사전에 잡아내겠다는 기획이다.
다만, 올해 사업에 선정된 SW기업을 대상으로 취약점 DB화를 추진할 예정이다. 또 SW업계가 외부에 소스코드 등을 DB화하는 데 우려를 갖고 있어, 중앙이 아닌 개별 기업 내부에 DB를 구축할 계획이다.
KISA 관계자는 “SBOM 연계 DB와 KVE를 상호 비교하면 취약점을 조기에 찾을 수 있다는 점에서 올해 관련 사업을 기획하겠다는 취지”라며 “올해 확정된 SBOM 기반 SW공급망 보안 사업의 방향은 선정된 기업과 협의를 거쳐 내부에 DB를 구축하겠다는 것”이라고 말했다.
조재학 기자 2jh@etnews.com
