 |
ⓒ게티이미지뱅크 |
정부가 사이버 보안 이슈 중 하나로 떠오른 소프트웨어(SW) 공급망 강화에 팔을 걷어 부쳤다. 오픈소스 등 SW 공급망 생태계가 갈수록 복잡해지며 해커가 공격 가능한 지점(공격표면)이 늘어나는 등 사이버 위협이 점차 심각해진다는 판단에서다.
7일 정보보호산업계에 따르면, 한국인터넷진흥원(KISA)은 올해 공급망 보안 모델 구축사업과 점검 지원 사업을 벌였다.
공급망 보안은 SW 개발·설계·배포·업데이트 등 공급망 전 과정에 발생할 수 있는 보안 위협을 예방·대응하는 체계를 말한다. SW가 최종 사용자에게 전달되기 전까지 거치는 모든 과정에서 보안 취약점을 식별·보호하는 게 핵심이다.
미국·유럽연합(EU) 등 주요국은 SW 자재명세서(SBOM) 제출을 의무화하거나 안전한 개발 여부를 증명하기 위해 적합성 평가와 인증을 받도록 하는 등 법제화했다. SBOM은 SW 부품을 식별할 수 있도록 돕는 일종의 명세서로, 모든 단계에 걸쳐 취약점을 식별하고 보안을 강화하는 공급망 보안 도구를 말한다.
이동화 KISA 공급망안전정책팀장은 “공급망 보안 모델 구축 사업은 한 기업 안에서 처음부터 끝까지 SBOM을 활용한 공급망 보안 체계를 만드는 게 골자”라며 “체계가 필요 없는 기업엔 SBOM 기반으로 SW와 개발 프로세스의 안전성을 확보하는 가이드를 제공했다”고 말했다.
KISA는 올해 사업 성과로 공통 구축 모델, 글로벌 규제 대응, SBOM 제출·공유, 공급망 보안 내재화, 공급망 보안 자가 진단 체크리스트 개발 등을 꼽았다.
구체적으로 에스트래픽, 에이아이트릭스, 한드림넷은 공급망 보안 관련 글로벌 규제에 대응할 수 있도록 도왔다. 또 소만사와 휴네시온은 SBOM 제출·공유하는 보안 관리체계 모델을 만들었으며, AI스페라, 인젠트, 알체라는 기업 내부 제도·절차·체계에 협력사·고객사와 SBOM 공을 등을 내재화했다.
이 팀장은 “SW 공급망 투명성과 보안에 대한 관심이 커지면서 SW 공급망 개발-공급-수요 기업 간 SBOM 공유는 필수적인 요소로 자리 잡았다”며 “글로벌 규제에서 요구하는 공급망 위험관리와 보안성 강화에 중점을 맞춰 체크리스트를 개발했고, 이를 기반으로 기업이 규제 준수를 점검해 글로벌 경쟁력을 확보할 수 있도록 했다”고 말했다.
KISA는 내년에도 공급망 보안 강화 사업을 이어갈 방침이다.
이 팀장은 “공급망 보안 대상 산업군을 확대하고 산업별 특성을 고려한 공급망 보안 체계 강화 지원을 지속적으로 추진하겠다”며 “개발사가 설계부터 납품까지 발생할 수 있는 위협으로부터 안전하게 개발을 할 수 있도록 전반에 걸친 보안 점검과 컨설팅을 지원하겠다”고 말했다.
 |
이동화 한국인터넷진흥원 공급망안전정책팀장.(한국인터넷진흥원 제공) |
조재학 기자 2jh@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.