돈 그레이브스 상무부 부장관이 12일(현지시간) 워싱턴DC에서 대한무역투자진흥공사(KOTRA·코트라) 워싱턴무역관이 주최한 한미통상협력 포럼에서 기자들과 만나 질의 응답을 하고 있다. 사진은 워싱턴특파원단 제공.
5일 IT(정보보안) 업계에 따르면 당시 미국 측과 국내 사이버 보안 업계 관계자들은 한국이 직면한 사이버 보안 이슈에 대해 논의하다가 자연스레 SBOM 이야기를 나눴다. 참석자들은 전세계적으로 공급망 보안이 중요해진 가운데 SBOM 기술이 가장 발달한 미국이 한미 사이버동맹을 상업적인 측면으로까지 확장시키려 한다는 인식을 받았다고 했다.
미국 연방정부는 공급망 보안을 위해 2021년 5월 정부 조달 SW제품에 대해 SBOM을 의무적으로 제출하도록 하는 행정명령을 내렸다. 공격자가 오픈소스 공급망 보안을 뚫고 악성코드를 주입할 경우 해당 오픈소스를 사용하는 모든 기업 및 공공기관 등이 전부 이에 감염될 수 있다. SBOM 작성이 막대한 피해를 사전에 막기 위한 일종의 안전장치인 셈이다.
국내 유관부처도 SBOM의 중요성을 인식해 제도 도입 작업에 착수했다. 공공기관 SW 보안을 담당하는 국가정보원은 최근 KISIA(한국정보보호산업협회)와 공공기관에 ICT제품을 납품하는 업체들을 상대로 공급망 보안 현황파악에 나섰다. 국정원은 공급망 보안에 대한 업계의 평균적인 인식을 파악한 뒤 최종적으로는 공공SW SBOM 작성을 의무화시킬 방침이다.
과학기술정보통신부도 KOSA(한국소프트웨어산업협회), KISIA 등과 함께 민간 사이버 보안 업계 인식 개선 작업에 나섰다. 당국은 민간협의체를 만들어 업계에 SBOM의 필요성을 알리고 제도 도입 방안을 마련 중이다. 과기정통부는 또 연말까지 SBOM 실증사업을 진행한 뒤 결과를 바탕으로 연내에 SBOM 작성 및 관리 등의 요령을 담은 가이드라인을 발간할 계획이다.
이 시각 인기 뉴스
한편 업계에서는 당국이 좀 더 서둘러야 한다는 목소리가 나온다. 미국이나 유럽 등 선진국에서는 이미 SBOM 작성을 의무화하는 등 공급망 보안 정책을 시도 중인데 국내는 아직까지 업계 의견수렴 단계인데다가 실증사업조차도 기초적인 수준에 머무르고 있기 때문이다. 업계에서는 이러다가 보안 제품 수출 과정에 새로운 장벽이 생겨날 수 있다는 지적이 나온다.
한 보안 업계 관계자는 "국정원과 과기정통부에서 나름 여러 노력을 하고 있지만 아직까지는 지지부진한 상태"라며 "오픈소스 공급망 보안에 대한 위험은 국내도 충분히 높은 상태인 만큼 공공 분야에서라도 좀 더 빠르게 제도를 도입했으면 한다. 공공 분야에서 먼저 시작하고 민간에서 따라가는 식으로라도 공급망 보안을 서둘러야 한다. 안그랬다간 수출길이 막혀버릴 것"이라고 했다.