과학기술정보통신부가 SW(소프트웨어) 공급망 보안 대책의 일환으로 SBOM(SW 명세서) 생성 법제화를 추진하는 한편 기업의 부담을 줄이기 위한 자동화 솔루션 개발에 착수했다. 글로벌 트렌드에 따라 SW 개발 단계서부터 보안체계를 수립해 제2의 솔라윈즈 사태를 막고 보안기업의 해외진출까지 돕겠다는 취지다.
8일 관계부처 및 업계에 따르면 정부는 올해 약 10억원의 예산을 투입해 3개 기업에서 SBOM 실증사업을 진행한다. SBOM 생성 플랫폼을 구축한 뒤 산업별 특성에 따른 DB(데이터베이스) 취약점 등을 수집하고 개발자들이 달라진 환경에서 느끼는 부담도 파악할 예정이다.
SW 공급망이란 SW 개발사나 기업이 사용자에게 필요한 SW를 공급하고 업데이트 등 패치를 제공하는 디지털 생태계 사슬이다. 예를 들어 스마트폰에 앱을 설치한 뒤 개발사가 새로운 업데이트를 서버에 올리면 앱스토어 등 마켓에서 이를 내려받아 설치하는 모든 과정을 말한다.
SBOM은 제조업에서 쓰는 BOM(자재명세서) 개념을 SW에 적용한 것이다. SW 개발 과정에서 SBOM을 함께 생성하면 여러 SW가 복잡하게 혼재돼 있어도 관리자가 구성요소를 한눈에 식별할 수 있다. 사이버공격 등으로 취약점이 생겼을 때 원인 찾기가 쉬워 빠른 조치가 가능하다.
정부가 SBOM 생성 법제화를 추진하는 이유는 솔라원즈, 로그4j 등 최근 몇년간 발생한 SW 공급망 공격 사례 때문이다. SW 공급망이 공격을 받게 되면 공급망을 타고 해당 SW 이용자들도 같은 공격을 받게 돼 피해가 걷잡을 수 없이 커진다.
2020년 12월 해커들은 솔라윈즈의 솔루션 업데이트 파일에만 악성코드를 심는 방식으로 3만3000여개가 넘는 고객사가 업무중단 등의 불편을 겪게 했다. 2021년 11월에는 오픈소스 SW인 로그4j에서 심각한 해킹을 야기할 수 있는 원격 코드 실행 취약점이 발견되기도 했다.
정부는 국내 SW 기업들의 해외진출을 위해서도 SBOM 생성 법제화가 필요하다는 입장이다. 미국 정부는 2021년 연방정부에 공급하는 SW의 경우 SBOM을 필수적으로 생성하도록 행정명령을 내렸다. 일본도 지난해 전담 태스크포스(TF)를 조직해 정책 로드맵을 제시했고 유럽연합도 2020년 관련 가이드라인을 발표했다.
정부는 SBOM으로 인한 기업 부담을 최소화하면서 법제화시킬 방안을 찾고 있다. 과기정통부 관계자는 "지금 당장은 실증사업을 통해 플랫폼을 구축해보는 게 중요하고 내년부터 SBOM 관리체계를 만들어 실증에 나설 것"이라며 "개발자 입장에선 그동안 코드만 만들면 됐는데 SBOM까지 신경쓰라고 하면 부담이 될 수 있어 자동화 솔루션까지 개발할 계획"이라고 설명했다.
업계에서는 환영의 목소리가 나온다. 보안업체 파수의 자회사 스패로우 관계자는 "대기업들은 이미 SBOM과 같은 SW 공급망 보안에 신경을 쓰고 있다"며 "최근 동남아시아 등 해외 거래처 고객들도 SBOM을 원하는 경우가 있기 때문에 제도가 활성화된다면 보안기업의 해외진출에도 도움이 될 것 같다"고 말했다.
이동범 KISIA(한국정보보호산업협회) 회장은 "오픈소스도 너무 많고 위험 관리 측면에서 SBOM은 꼭 필요하다"면서도 "작은 기업들 입장에서 부담이 되긴 할테니 유예기간을 둔다던가 해서 단계적으로 확장해 나가야 한다"고 바라봤다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]