[종합] 수출기업에 단비될까? 미‧EU 대응 ‘SW공급망보안 가이드’ 공개

[디지털데일리 최민지기자] 주요 정부부처가 함께 모여 ‘소프트웨어(SW) 공급망 보안 가이드라인’을 공개했다. 미국과 유럽연합(EU) 등에서 관련 제도화에 속도를 내는 가운데, 범정부 차원에서 가이드라인을 내놓은 것이다. 정부는 이를 통해 산업계 애로사항을 덜고, 국내 SW기업 수출길에 도움이 되기를 바라고 있다.

과학기술정보통신부(이하 과기정통부), 국가정보원(국정원), 디지털플랫폼정부위원회(디플정위)는 민관 협력을 통해 ‘SW 공급망 보안 가이드라인 1.0’을 공개하고, 올해 하반기에는 범정부 합동 태스크포스(TF)를 구성해 ‘SW 공급망 보안 로드맵’을 마련하겠다고 12일 밝혔다.

이는 국산 SW에 SBOM 실증결과를 반영한 가이드라인으로, 디지털플랫폼정부 주요시스템(디플정 허브) 구축 때 SW 공급망 보안을 시범 적용하고 중소기업 지원을 확대할 방침이다. 이어 하반기에는 세부적인 정부 지원 방안과 제도화 추진 방향에 대해서도 논의할 계획이다. SBOM(SW Bill of Materials)은 SW에 어떤 구성요소가 들어가 있는지 알려주는 SW부품명세서다. 식품을 판매할 때 영양이나 재료 정보 등을 기재하는 것과 비슷하다.

이번 가이드라인은 과기정통부, 국정원, 디플정위와 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호산업협회(KISIA) 등 정부·공공기관 홈페이지를 통해 오는 13일 정오부터 무료로 내려받을 수 있다.

◆미국‧EU, 주요국 정책 동향은?

SW 공급망 보안은 디지털 환경 속에서 공급망 위협이 커지면서 필요해졌다. SW 개발부터 공급, 운영에 이르기까지 생태계 참여 계층 범위가 확장됐기 때문이다. 모바일, 클라우드, 사물인터넷(IoT) 등 디지털화가 확산되면서 외부 SW 활용도 늘어났다.

예를 들어 한 이커머스 플랫폼 기업이 보안정책을 아무리 잘 준수하더라도, 이곳과 연계된 온라인 결제 기업 또는 이곳에서 상품을 판매하는 기업의 보안에 취약점이 생기면 함께 위협에 노출될 수 있다는 설명이다.

2021년 발생했던 ‘로그4J(Log4J)’ 사태도 SW 공급망 보안 경각심을 높였다. 공개SW 로그4J 보안취약점을 악용한 사이버공격은 웹방화벽 등 다양한 방법으로 방어할 수 있지만, 이보다 더 큰 위험은 로그4J가 어느 제품과 서비스에 어떻게 사용되고 있는지 정확하게 파악하기 어렵다는 데 있다.

이에 미국은 2021년 5월 행정명령(EO 14028)을 통해 연방정부에 납품되는 SW의 SBOM 제출을 발표한 이후 올해 3월 이를 보완하는 보안관리 자체증명서(Self Attestation Form)를 확정하고, 본격 시행을 앞두고 있다. 유럽 또한 역내에 유통되는 디지털 제품 및 서비스의 보안 강화를 위해 2022년 9월 ‘사이버복원력법(Cyber Resilience Act)’을 제정 발의하고, 작년 12월 제정법안에 대해 EU 집행위원회, EU 의회, EU 이사회 간 정치적으로 합의를 완료했다. 올해 승인 절차를 거쳐 2026년 이후 시행될 전망이다.

미국‧EU 등 주요국의 제도화 움직임은 국내 SW기업에게 어려움으로 작용할 수 있다. 이에 정부의 가이드라인이 수출기업에게 필요한 안내서가 될 수 있다는 설명이다.

앞서, 강도현 과기정통부 2차관은 지난달 열린 SW공급망 보안 가이드라인 간담회에서 “수출 기업 입장에서는 국제적으로 준비되는 내용에 함께 동참하고 미리 준비하자는 취지”라고 언급하기도 했다.

관련해 정부는 SW 공급망 사이버보안 위험 증가와 주요국의 SBOM 제도화에 대응해 국내 중소기업들의 자체적인 SW 공급망 보안 역량 강화를 지원하고 있다. 기존 기업지원 시설에 SBOM 도구를 확충함으로써 SW 기획, 개발단계에서부터 SW 악성코드 및 보안취약점이 관리될 수 있도록 지원하고 있다.

경기도 판교 ‘국가사이버안보협력센터 기술공유실’ ‘기업지원허브’, 강원도 원주 ‘디지털헬스케어 보안 리빙랩’ 등을 활용하면 된다. 이중 국가사이버안보협력센터 경우 ▲SBOM 생성 자동화 ▲SBOM 관리 ▲SW 보안취약점 추적·관리 등을 실증할 수 있는 시설을 갖추고 시범운영 중인 만큼, SW 공급망 보안 통합관리 체계 구축 방안을 실증할 수 있는 테스트베드로 발전시킬 예정이다.

◆SW 공급망 각 단계에서 SBOM 활용해야

이번 가이드라인에서는 SW 공급망 전체 보안 위협을 관리하기 위해 개발사, 공급(유통)사, 운영사의 역할을 명시했다.

개발사는 SW 설계, 구현, 검증 등 개발단계에서 보안 활동을 통해 보안취약점을 최소화해야 할 뿐만 아니라, SW에 포함된 라이브러리와 빌드 및 배포 체계의 보안성을 확보해야 한다. 공급사는 보안 요구사항 충족 여부 확인, 타사 SW의 검증, 실행 파일 테스트를 통해 SW 제품의 보안을 검증하고, 취약점을 발견했을 때는 고객(운영)사에 이를 알리고 취약점에 대응한다.

운영사는 보안 요구사항과 공급망 위험관리(SCRM) 요구사항을 정의하고, 이에 따라 SW 인수테스트를 진행한다. 또, 제품 적용‧생명주기 관리에 필요한 보안 및 공급망 위험관리 대책을 이행해야 한다.

특히 개발, 공급, 운영 등 공급망 각 단계에서 SBOM을 활용함으로써 SW 구성요소를 안전하게 관리할 것을 권하고 있다. SBOM을 활용하면 SW 자산관리, 공개 SW 라이선스 및 보안취약점 관리가 가능하기 때문이다.

개발사는 공개 SW 및 타사 SW 구성요소를 사용헤 제품을 만드는 경우가 많다. SW 개발 기업은 SBOM을 통해 해당 구성요소가 최신 버전인지 식별하고, 새로운 보안취약점에 신속하게 대응할 수 있다는 설명이다. 운영사는 SBOM을 활용해 새로 발견된 보안취약점이 잠재적 위험에 노출되어 있는지를 쉽고 빠르게 확인하고 관리할 수 있다.

실제로 SW는 다양한 공개 SW를 포함할 수 있기에 SW 개발 생명주기 단계마다 SBOM 생성‧배포 체계를 구축해야 한다. 이를 위해 기초 데이터가 되는 SBOM 생성을 위한 필수설비를 구축해야 한다. 가이드라인에서는 SBOM 도구(공개 SW 및 상용 도구 활용), SW 구성요소 저장소, SBOM 데이터베이스(DB), SW 위험 평가 및 관리를 위한 자체 보안취약점 DB 등 SBOM 기반 SW 공급망 보안 기초 설비 확보가 필요하다고 진단했다.

관련해 의료‧보안 분야 SW 3종에 대해 SBOM 실증도 진행했다. 가이드라인에 따르면, 자동화된 SBOM 도구로 SBOM을 생성하면, 항목 일부가 누락되거나 중복되는 현상 등이 나타난다. 이를 제거하기 위해 SW 개발자가 반드시 참여할 것을 요청했다.

또한, 대상 SW 유형(소스코드 또는 바이너리)에 따라 생성된 SBOM 구성요소 명세가 다를 수 있고, 그에 따라 보안취약점 탐지 결과도 상이할 수 있다. SBOM 유효성 검증을 통해 신뢰성을 높이는 것이 효과적인 보안취약점 관리의 필수요건이라고 봤다.

정부는 “SBOM 도구에 따라 취약점 출처, 조치방안 등 보안취약점 상세 항복이 다르게 표현될 수 있으므로, 지속적인 활용을 통해 경험을 축적할 필요가 있다”며 “이번 가이드라인은 세계적으로도 유례없는 실무 안내서이며, 향후 미국 등 주요 국가와 협력을 통해 해외에도 적극 소개할 것”이라고 전했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -