숨겨진 스파이웨어 기승… 3월, SW 공급망보안 가이드라인 나온다

임종철 디자이너 /사진=임종철 디자이너

SW(소프트웨어)를 구성하는 코드 속에 악성 프로그램을 삽입해 공격을 자행하는 공급망 공격에 대비하기 위해 범정부 차원의 ICT(정보통신기술) 공급망 보안 가이드라인이 3월 중 나온다.

12일 관련부처에 따르면 국가정보원은 과학기술정보통신부와 함께 사이버안보 위협 세력의 ICT 공급망 공격에 체계적으로 대응하기 위해 'ICT 공급망 보안 가이드라인'을 마련, 3월 중 공개할 예정이다.

이달 1일 국가안보실이 발표한 국가사이버안보전략에 따르면 ICT 제품이 공공·민간 전 영역에서 주로 활용되며 개발·배포·유지·관리 등 ICT, SW 공급망 전체 영역에서 부품과 소프트웨어에 악성코드를 삽입해 공격하는 공급망 보안 위협이 증가하고 있다.

2021년말에 발견돼 수백만 건의 사이버공격에 악용된 로그포쉘(Log4Shell) 사건이 대표적이다. 국내에서도 금융보안인증 프로그램 '매직라인4NX'(MagicLine4NX), 화상통신 SW '3CX 데스크톱 앱' 등 취약점을 이용한 북한 해킹 조직의 공격이 확인된 바 있다.

이에 국가안보실은 국가사이버안보전략 핵심 전략 과제에 범 국가적 차원의 ICT 공급망 보안 정책 및 대응체계 확립을 포함했다. 미국과 EU(유럽연합) 등에서도 공급망 위협의 심각성을 인식해 올해부터 공공기관에 ICT 제품을 납품할 때 제품별 세부사항 제출을 의무화하는 등 보안 규제를 강화하고 있다.

국정원과 과기정통부는 그간 각각 공공, 민간 영역의 사이버 보안에 대한 사항을 관장해왔지만 공급망 보안 공격이 공공·민간을 불문하고 이뤄지는 점을 감안해 부처간 벽을 허물고 협업을 통해 제도적 보완을 추진할 예정이다. 이에 양 기관은 현재 보안 가이드라인에 담을 핵심 골격을 다듬고 있다.

그간 ICT 제품별로 상이한 SBOM(소프트웨어 구성 명세서)을 표준화해 업계와 도입기관, 시험기관들의 예측 가능성을 높이는 것도 향후 작업에 포함된다. ICT 제품의 SBOM 정보를 자동 분석할 수 있는 시스템도 개발해 그간 수작업에 의존해왔던 분석에서 벗어나 안전성, 신속성을 모두 도모한다는 방침이다.


아울러 국정원과 과기정통부는 개발·유통·운영 등 공급망 단계별 체크리스트도 마련해 업계, 시험기관, 도입기관 등 각 참여주체들이 자체적으로 2중, 3중의 안전성을 확보하도록 지원할 계획이다.