소프트웨어(SW) 개발 생명주기에 따른 SBOM(SW자재명세서) 관리방안./사진=과학기술정보통신부
과학기술정보통신부는 18일 국가정보원·디지털플랫폼정부위원회(디플정위)·한국인터넷진흥원(KISA)과 서울 종로구 국가과학기술자문회의 청사에서 간담회를 열고 가이드라인을 공개했다.
미국·유럽 등 주요국은 SBOM(SW자재명세서)에 기반한 SW 공급망 보안을 의무화하고 있다. 특정 부속 SW에 보안취약점이 발생하면 미리 작성한 SBOM으로 영향을 쉽게 파악하고 피해를 최소화한다는 취지다. 과기정통부는 이날 "국내 공공기관·민간기업도 개념을 쉽게 이해·활용할 수 있도록 지원하기 위해 가이드라인을 마련했다"고 밝혔다.
과기정통부는 "공공기관에 유통될 수 있는 SW의 보안취약점 점검과 시험기관 기술지원을 위해 판교 국가사이버안보협력센터에 테스트베드를 운영하고 있다"며 "실무자들이 SBOM을 보다 편리하게 활용할 수 있도록 SBOM 최소 요구항목을 통한 보안취약점 점검도 지원 중"이라고 밝혔다. 이어 "가이드라인을 KISA 등 유관단체를 통해 공공기관·민간기업들이 활용할 수 있도록 널리 확산하는 한편 국내 중소기업들이 해외 무역장벽을 극복할 수 있는 자체 역량을 키워나갈 수 있도록 체계적으로 지원해나갈 계획"이라고 덧붙였다.
강도현 과기정통부 2차관은 "국제적 변화의 흐름 속에서 우리 기업들이 이에 적응할 수 있도록 지원하는 좋은 방안을 찾으려는 노력이 필요한 때"라며 "SW 공급망 보안 가이드라인이 기업활동을 저해하는 규제가 아니라 기업 자체적인 보안활동을 강화함으로써 국산 SW의 품질을 높이고, 국제적인 경쟁력을 확보해나갈 수 있는 기반이 될 수 있도록 중소기업 지원에 노력을 아끼지 않겠다"고 말했다.