과기정통부, SW 공급망 보안 청사진 내놨다…“S-BOM 체계 수립”

박윤규 과기정통부 제2차관(왼쪽에서 네 번째)이 1일 서울 서초구 LG전자 서초R&D캠퍼스에서 열린 간담회에서 발언하고 있다.(과학기술정보통신부 제공)
박윤규 과기정통부 제2차관(왼쪽에서 네 번째)이 1일 서울 서초구 LG전자 서초R&D캠퍼스에서 열린 간담회에서 발언하고 있다.(과학기술정보통신부 제공)

정부가 소프트웨어(SW) 공급망 보안 강화를 위한 청사진을 내놨다.

내년부터 SW 공급망 보안 관련 시스템 구축, 인력확보, 지원체계 정비 등 기반 구축에 나선다. SW 공급망 기술지원 센터를 설립해 S-자재명세서(BOM) 통합관리 플랫폼을 운영하는 등 S-BOM 체계를 수립할 방침이다.

과학기술정보통신부는 1일 LG전자 서초 캠퍼스에서 ‘SW 공급망 보안 추진을 위한 현장 간담회’를 열고 이 같은 내용을 담은 중장기 추진 방향을 발표했다.

SW 공급망은 SW 개발, 시험, 유통(패치 포함), 운영 전 과정을 의미한다. 각 과정의 취약점을 노린 공격이 늘어나고 있어 SW 공급망 보안이 주목받는다. 로그4제이(Log4j), 솔라윈즈 사태 등이 대표적인 SW 공급망 공격 사례다. SW 공급망 취약점을 노린 공격은 파급효과가 연쇄적이고, 지속적 게 특성이어서 보안 대책 마련이 요구된다.

과기정통부는 내년까지 S-BOM 통합관리 플랫폼을 구축하고, SW 공급망 기술지원 센터를 수립해 플랫폼 운영을 맡길 계획이다.

S-BOM은 SW 공급망 보안의 핵심 열쇠로 SW 개발과정에서 포함되는 다양한 공개SW 목록 등 주요 구성품의 명세서다. S-BOM 분석을 통해 SW에 포함된 보안 취약점을 발견할 수 있고, SW 유통·운영과정에서도 SW 보안성을 확보할 수 있다.

소프트웨어 공급망보안 개념도.(과학기술정보통신부 제공)
소프트웨어 공급망보안 개념도.(과학기술정보통신부 제공)

통합 플랫폼에선 S-BOM 모니터링은 물론 취약점 분석, 보안컨설팅 및 기술지원 등이 이뤄진다. 이를 통해 SW에 잠재된 보안 위협을 빠르게 찾아 공유하고 대응함으로써 국가 차원의 SW 안전성 강화를 달성할 것으로 기대된다.

또 SW 공급망 보안 확산을 위해 영세·중소 S-BOM 도입을 지원하고, 공급망 보안 및 S-BOM 분석 전문 인력을 양성할 예정이다.

아울러 올해 해외 S-BOM 실증사례를 벤치마킹한 실증사업을 추진할 계획이다. 사업 대상으론 기업의 사용도가 높고 파급효과가 큰 보안제품·의료 등을 우선 고려하고 있다.

박윤규 과기정통부 제2차관은 “원격·지사·재택 근무 등이 보편화하면서 기존 경계 중심 보안체계가 큰 도전을 받고 있다”면서 “SW 개발·유통·운영 등 공급망 전반에 대한 보안체계를 수립하는 한편 국내 기업의 해외 진출을 위한 무역장벽 극복도 적극 지원하겠다”고 말했다.

해외 주요국도 대책 마련에 분주하다. 바이든 미국 행정부는 2021년 5월 SW 공급망 보안을 강화하는 행정명령(EO 14028)을 발표했다. 나아가 헬스케어·에너지·의료기기 등 산업별로 S-BOM 실증사업을 추진하고 있다. 유럽공동체 역시 2022년 9월 사이버복원력법을 발표하고, 입법 논의를 진행하고 있다. 제조·유통·수입업체 등 공급망에 포함된 기업을 대상으로 의무사항을 부여하는 게 골자다. 일본은 2019년 3월 S-BOM 도입·보급을 위한 SW 태스크포스(TF)를 꾸리고 실증을 기반으로 S-BOM 활용 방안을 검토하고 있다.
국내에선 LG전자가 SW 공급망 보안을 체계적으로 시행하는 회사로 꼽힌다. LG전자의 포스라이트(FOSSLight)는 개발자의 SW를 분석해 오픈소스 사용 여부와 사용조건 및 의무사항 준수 등을 검증한다. 또 개발자에게 보안 취약점을 알려주는 등 오픈소스 활용 시 보안 안전성을 높인다.

과기정통부, SW 공급망 보안 청사진 내놨다…“S-BOM 체계 수립”

조재학 기자 2jh@etnews.com