도미노 보안위험 막는다…정부, 'SW 공급망 가이드' 발표

18일 SW 공급망 가이드라인 공개

소프트웨어(SW) 개발 생명주기에 따른 SBOM(SW자재명세서) 관리방안./사진=과학기술정보통신부

디지털 제품·서비스에 소프트웨어(SW) 탑재 명세서를 도입하는 'SW(소프트웨어) 공급망 보안 가이드라인'이 나왔다.

과학기술정보통신부는 18일 국가정보원·디지털플랫폼정부위원회(디플정위)·한국인터넷진흥원(KISA)과 서울 종로구 국가과학기술자문회의 청사에서 간담회를 열고 가이드라인을 공개했다.

SW 공급망은 SW의 개발·유통·운영·패치와 이에 관여하는 사람·장비·시스템을 아우르는 용어다. 새로운 SW를 개발하는 과정엔 기존 SW를 부속으로 활용하는 경우가 잦은데, 최근 정보보호 업계에선 일부 부속 SW의 보안취약점이나 악성코드가 다른 SW까지 확산된 사례가 잇따라 보고되면서 SW 공급망 전체의 보안을 확보해야 한다는 지적이 나왔다.

미국·유럽 등 주요국은 SBOM(SW자재명세서)에 기반한 SW 공급망 보안을 의무화하고 있다. 특정 부속 SW에 보안취약점이 발생하면 미리 작성한 SBOM으로 영향을 쉽게 파악하고 피해를 최소화한다는 취지다. 과기정통부는 이날 "국내 공공기관·민간기업도 개념을 쉽게 이해·활용할 수 있도록 지원하기 위해 가이드라인을 마련했다"고 밝혔다.

가이드라인에는 SBOM 국제표준과 SW개발 생명주기에 따른 SBOM 관리방안, 국가 차원의 SW 공급망 보안 관리체계에 대한 소개가 담겼다. 개발사(공급사)와 고객사(운영사)의 역할, SSDF(안전한SW개발체계) 활용방안, 국산 SW SBOM 생성과정, 보안취약점 탐지·조치 과정, 보안 점검항목도 포함됐다.

과기정통부는 "공공기관에 유통될 수 있는 SW의 보안취약점 점검과 시험기관 기술지원을 위해 판교 국가사이버안보협력센터에 테스트베드를 운영하고 있다"며 "실무자들이 SBOM을 보다 편리하게 활용할 수 있도록 SBOM 최소 요구항목을 통한 보안취약점 점검도 지원 중"이라고 밝혔다. 이어 "가이드라인을 KISA 등 유관단체를 통해 공공기관·민간기업들이 활용할 수 있도록 널리 확산하는 한편 국내 중소기업들이 해외 무역장벽을 극복할 수 있는 자체 역량을 키워나갈 수 있도록 체계적으로 지원해나갈 계획"이라고 덧붙였다.

강도현 과기정통부 2차관은 "국제적 변화의 흐름 속에서 우리 기업들이 이에 적응할 수 있도록 지원하는 좋은 방안을 찾으려는 노력이 필요한 때"라며 "SW 공급망 보안 가이드라인이 기업활동을 저해하는 규제가 아니라 기업 자체적인 보안활동을 강화함으로써 국산 SW의 품질을 높이고, 국제적인 경쟁력을 확보해나갈 수 있는 기반이 될 수 있도록 중소기업 지원에 노력을 아끼지 않겠다"고 말했다.