과학기술정보통신부와 국가정보원이 소프트웨어(SW) 공급망 보안 강화를 위한 범정부 협력체계를 꾸린다. 각각 민간과 공공 사이버 보안을 담당하는 두 기관이 손잡고 공급망 전반에 대한 보안 강화에 나선다는 점에서 의미가 남다르다.
28일 정보보호업계에 따르면, 과기정통부와 국정원은 이 같은 내용을 담은 SW 공급망 보안 로드맵을 마련 중이다.
SW 공급망 보안은 SW 개발·설계·배포·업데이트 등 공급망 전 과정에 발생할 수 있는 보안 위협을 예방·대응하는 체계다. 공격자가 공급망 침투에 성공할 경우 단일 기업·기관을 넘어 전체 공급망으로 피해가 확산할 우려가 있다.
SW 공급망 보안 로드맵을 과기정통부와 국정원이 이끌지만 식품의약품안전처(의료기기), 산업통상부(자동차 부품) 등 범정부 협력체계로 운영되는 것도 이 때문이다.
이번 로드맵을 살펴보면, 공공에 납품하는 IT 제품을 대상으로 2027년 SW 자재명세서(SBOM) 제도를 도입, 2028년부터 본격 운영한다. SBOM은 SW를 구성하는 모든 요소, 코드를 짜고 수정하고 관리하는 모든 사람을 투명하게 써놓은 문서다. SW의 모든 요소를 쉽게 파악할 수 있어 공격을 받거나 문제가 발생했을 때 대응이 용이해진다.
제품 단위로 이뤄진 기존 보안 적합성 검증은 기능 단위로 세분화한다. 대상도 보안기능이 탑재된 IT제품 및 저장자료 완전삭제제품에서 나아가 디지털제품·사물인터넷(IoT) 제품으로 확대한다. 또 시범사업을 통해 공급망 보안 관련 사항을 잘 준수한 기업에 인증 기업 확인서도 발행한다.
아울러 SW기업을 대상으로 내부 개발 인프라, 보안 정책 적절성, 취약점 조치 등을 진단하는 컨설팅도 확대한다. SW 공급망 보안을 개별 SW기업에만 맡기기엔 한계가 있어 공급망 보안 전문 서비스 기업도 육성한다.
공급망 위협 정보 발굴 체계를 다각화하는 동시에 공급망 참여자 간 보안 정보를 공유·협력하는 체계도 만든다. 국정원, 과기정통부와 한국인터넷진흥원(KISA)이 협업해 공공·민간을 아우르며 취약점 및 위협 정보를 한데 모아 신속하게 공유하는 식이다.
과기정통부 관계자는 “공급망 보안은 민간과 공공이 서로 영향을 주고받기에 부처별로 따로 운영하면 의미가 없다”며 “국정원과 (이러한) 공감대를 형성해 공급망 보안 로드맵 개발을 함께 하고 있다”고 말했다.
과기정통부와 국정원은 이르면 새해 1분기 SW 공급망 보안 로드맵을 발표할 예정이다.
조재학 기자 2jh@etnews.com
