 |
국내 SW 공급망 보안 모델 구축사업 현황/그래픽=김현정 |
"개발자도 모르는 오픈소스가 너무 많이 사용되고 있습니다. 취약점이 개선되지 않은 오픈소스를 소프트웨어(이하 SW) 제품 안에 넣고 있는 경우도 많습니다." 이동화 한국인터넷진흥원(KISA) 공급망안전정책팀장의 얘기다.
25일 '대한민국 공개SW 포털' 등에 따르면 전 세계 SW 산업계에서의 오픈소스 활용 비율은 96~97%인 것으로 추산된다. 오픈소스는 SW 개발 과정에서 소요되는 비용(라이선스 취득 등) 뿐 아니라 개발에 소요되는 시간도 줄일 수 있다는 등 이유에서 활용이 점차 늘고 있다.
문제는 취약점이 남아 있는 오픈소스를 사용해서 SW를 개발했을 때 그 취약점이 SW 제품에도 고스란히 남게 된다는 것이다. 개개 오픈소스의 취약점을 노린 공격도 많다. 이 팀장은 "올해 23만1774개의 오픈소스 컴포넌트를 분석한 결과 3.5%(약 8100개)에서 보안 필터링 우회, 민감정보 노출 등 보안 취약점이 발견됐다"며 "전체의 0.49%(약 1130개)에서 악성코드 원격 실행, 원격 코드 실행, DDoS(분산서비스거부) 공격 등 고위험 취약점이 발견됐다"고 했다.
이에 SBOM(Software Bill of Materials, 소프트웨어 구성 명세서)이 주목받는다. 제조업 기업들이 자사 제품에 BOM(자재명세서)이라는 이름으로 원산지, 규격, 조립순서 등을 기재하듯 SBOM에 오픈소스 및 상용 SW의 목록이나 버전 등 정보를 담도록 한 것이다. 이미 미국·EU(유럽연합) 등에서는 이미 SW 제품은 물론 디지털 기기와 관련한 SBOM 제출을 의무화하는 등 관련 규제를 강화하는 추세다. 공급망 보안 규제는 비관세 장벽으로도 작용하고 있다.
국내서도 과학기술정보통신부와 KISA가 60억원의 예산을 올해 최초로 확보해 민간기업들이 SBOM 기반으로 공급망 보안 체계를 구축할 수 있도록 지원했다. 앞서 2023~24년 과기정통부·KISA는 공공·의료·보안기업 등 8개사를 대상으로 소스코드와 SW 완제품 등에서 SBOM을 활용한 보안 점검을 수행했다. 이 중 한 기업에서는 무려 5300개에 이르는 취약점이 발견됐는데 이 중 3208개(60.5%)가 치명적 또는 고위험의 취약점이었다. 이 기업은 SBOM 점검을 통해 89.6%에 이르는 취약점을 줄였다. 이같은 실증을 통해 과기정통부·KISA는 SBOM 기반 공급망 보안모델 사례를 확보할 수 있었다.
이를 기반으로 올해엔 △SBOM 기반 SW 공급망 보안 관리체계 구축 △SW 개발사 공급망 보안점검 등을 주축으로 사업이 진행됐다. 공급망 위협 대응 역량을 확보해 만일의 사태에 피해 확산을 조기에 막을 수 있도록 하고 글로벌 공급망 규제 대응 역량도 높여 해외로의 SW 수출을 원활하게 하기 위해서였다. 국내 기업들의 공급망 보안 체계 진단과 SW 자체 보안 진단도 지원했다.
이를 통해 에스트래픽, 에이아이트릭스, 한드림넷 등 기업들이 해외에 교통인프라 시스템과 의료 SW, 네트워크 장비 펌웨어 등 수출하는 과정에서 공급망 보안 관련 글로벌 규제에 대한 대응 프로세스를 만들 수 있었다. 아울러 과기정통부·KISA는 공급망 보안 자가진단 체크리스트를 제작하는 등 기업들이 글로벌 시장에서 통용되는 SBOM을 손쉽게 작성할 수 있도록 했다.
한편 과기정통부·KISA는 내년 공급망 보안 대상 산업군을 확대하고 산업별 특성을 고려한 공급망 보안 체계를 강화할 수 있도록 지원을 지속한다는 방침이다. SBOM 생성 및 취약점 분석 도구나 관련 데이터베이스 등 필수 설비 구축도 추진된다. SW 개발사들이 설계부터 납품까지 전 과정에서 발생할 수 있는 위협을 줄일 수 있도록 보안 점검 및 컨설팅도 지원한다.
황국상 기자 gshwang@mt.co.kr
Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.