한국인터넷진흥원(KISA)이 소프트웨어자재명세서(SBOM)를 활용한 공급망 보안 체계 구축 지원사업을 확대 추진한다. 기존 개발·공급 기업 중심 지원에서 도입·운영 기업까지 범위를 넓혀 소프트웨어(SW) 개발부터 운영까지 전 과정의 보안 관리 체계 구축을 지원한다.
KISA는 올해 'SBOM 기반 SW 공급망 보안 체계 구축 지원사업'을 총 40억원 규모로 추진, 8개 과제를 선정할 계획이라고 16일 밝혔다.
올해 사업의 가장 큰 특징은 지원 대상 확대다. 지난해에는 SW를 개발하거나 공급하는 기업을 중심으로 지원이 이뤄졌지만, 올해는 제품을 도입해 운영하거나 판매하는 기업까지 참여할 수 있도록 범위를 넓혔다. 전체 8개 과제 가운데 6개는 개발·공급 기업 중심으로 진행하고, 2개 과제는 개발·공급 기업과 도입·운영 기업이 함께 참여하는 형태로 추진된다.
과제 유형에 따라 지원 규모도 달라진다. 개발·공급 기업 중심 과제는 기업당 최대 3억원, 도입·운영 기업이 포함된 과제는 최대 5억원까지 지원한다. 중소기업, 중견기업, 대기업은 각각 25%, 30%, 50% 수준의 자부담을 적용받는다.
SBOM은 SW를 구성하는 오픈소스와 라이브러리 등 구성요소를 정리한 목록이다. 이 목록을 보면 새로운 보안 취약점이 발견됐을 때 해당 제품이 영향을 받는지 빠르게 확인하고 대응할 수 있다.
최근 SW가 여러 기업의 프로그램과 오픈소스를 조합해 만들어지면서 보안 문제가 발생하면 원인을 찾기 어려운 경우가 많다. 이에 미국과 유럽을 중심으로 공급망 보안 규제가 강화되면서 제품에 어떤 SW가 포함됐는지 확인할 수 있는 SBOM 요구도 늘고 있다.
정부는 2023~2024년 SBOM 실증 사업을 진행한 뒤 2025년부터 공급망 보안 체계 구축 지원사업을 본격 추진하고 있다. 올해 사업 신청서는 다음달 9일까지 받는다.
이동화 KISA AX공급망보안정책팀장은 “최근 글로벌 공급망 보안 규제가 강화되면서 국내 기업들도 이에 대응할 필요가 있다”며 “SBOM을 활용해 기업들이 공급망 보안 체계를 구축하고 취약점에 대응할 수 있도록 지원할 것”이라고 말했다.
박진형 기자 jin@etnews.com
