임종철 디자이너 /사진=임종철
한 사이버보안업계 관계자의 얘기다. 공급망 보안이 현재의 인권, 기후변화, ESG(환경·사회·지배구조)처럼 비관세 무역장벽처럼 작용할 것이라는 우려다.
ESG규제는 공급망 단위까지 훑는다는 점에서 충격이 더 크다. ESG규제망은 개별기업 단위를 넘어 글로벌 공급망 단위에 이르기까지 리스크를 파악·대응할 것을 요구한다. 제품단위가 아니라 제품을 구성하는 부품단위에까지 리스크를 파악·관리할 것을 요구하는 교역질서가 공고화하고 있다는 얘기다.
그만큼 사이버공간에서의 위협도 커졌다. 최근 과학기술정보통신부, 한국인터넷진흥원(KISA)에 따르면 KISA에 접수된 침해사고 신고 건수는 2021년 640건에서 2022년 1142건으로 78% 늘어난 데 이어 올 상반기에도 664건으로 전년 동기(473건) 대비 40% 증가했다. 특히 기업 내부에서 사용하는 네트워크 모니터링프로그램 등 SW 취약점을 악용, 해당 SW를 통해 이용자의 PC를 감염시키고 원격조종 악성코드를 설치해 내부망을 장악하는 공격이 연이어 발견됐다.
이 같은 공격의 상당수는 국가 배후 전문 해킹그룹이 자행한 것으로 파악된다. 미국·영국·일본 등은 명시적으로 북한·중국·러시아·이란 등을 사이버안보를 위협하는 위험국가로 분류해 관리한다. 미국은 이미 2021년부터 연방기관에 SW 내장제품을 납품할 때 SW 구성요소를 식별할 수 있도록 한 SBOM(소프트웨어명세서) 제출을 의무화했다. 세세 구성요소까지 안전성 여부를 샅샅이 훑어본 후에야 해당 제품을 구매하겠다는 것이다.
이 시각 인기 뉴스
국제공조를 통한 SW 공급망 보안강화는 점차 추세화하는 분위기다. 이미 우리 정부는 미국과 사이버안보 동맹체제를 구축, 국제공조에 본격 나섰다. 새로운 사이버안보 질서하에서는 기업들도 자사의 제품에 무슨 SW가 어떻게 만들어져 있는지까지 파악해 대응해야 한다는 지적이다. 이 같은 이유에서 최근 한국소프트웨어산업협회(KOSA)에서 SBOM협의체가 구성된 것은 환영할 일이다. 새로운 보안의 화두가 된 공급망 보안이 원활히 정착할 수 있는 기반이 되길 기대해본다.