ⓒ게티이미지뱅크 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
미국·유럽연합(EU) 등 주요국의 소프트웨어(SW) 공급망 보안 강화 정책이 우리 SW 개발사에 수출장벽으로 작용할 수 있다는 우려가 커진다.
한국인터넷진흥원(KISA)은 우리 SW 개발사를 대상으로 공급망 보안 점검을 실시하는 한편 SW자재명세서(SBOM) 기반 공급망 보안 구축 지원사업을 벌이는 등 대응을 강화한다.
KISA는 4월부터 SW 개발기업 공급망 보안 점검과 기술지원 사업의 신청접수를 개시한다.
SW 공급망 보안은 SW 개발·설계·배포·업데이트 등 공급망 전 과정에 발생할 수 있는 보안 위협을 예방·대응하는 체계다. SW가 최종 사용자에게 전달되기 전까지 거치는 모든 과정에서 보안 취약점을 식별·보호하는 게 핵심이다. 개발사, 유통(공급)사, 운영사 등 어느 단계에서든 사이버 공격 등이 발생하면 제품 사용자 전체에 피해가 확산할 위험성이 크다는 점에서 중요성이 커지고 있다.
이에 따라 미국·EU 등 주요국을 중심으로 SBOM 제출·관리를 의무화하는 등 SW 공급망 보안 강화에 나섰다. 문제는 글로벌 SW공급망 보안 강화가 우리 기업의 수출장벽이 될 수 있다는 점이다.
이에 KISA는 SW 개발기업을 위한 공급망 보안 점검과 기술 지원을 실시한다. 먼저 공급망 보안 점검은 소스코드와 개발환경을 보유한 SW 개발·공급사가 대상이며, SW 개발 전 주기에 걸쳐 보안 위협요소를 찾아 보안 대책을 마련할 수 있도록 돕는다. 점검내용에 관계없이 전액 무료 지원한다.
구체적으로 SW 자체 보안성 진단을 통해 소스코드 상 존재하는 보안 위협을 식별·제거하고 SW 보안약점 관리방안을 수립할 수 있도록 지원한다. 또 SW 실행 환경에서 발생하는 보안취약점을 탐지하고 대응방안을 마련하는 모의해킹도 수행한다.
SW 보안 체계 진단은 SBOM 분석, SBOM 기반 보안 위협 관리 방안, 기업 유·무형 인프라 보안 등을 컨설팅하는 게 골자다.
아울러 올해 SBOM 기반 SW 공급망 보안 구축 지원사업도 실시한다. 글로벌 규제 대응 분야 6개 과제와 공급망 위협 대응 분야 2개 과제 등 총 8개 과제를 선정해, 과제당 최대 3억7500만원을 지원한다. 내달 21일까지 공모 접수를 진행한다.
지난해 KISA는 SBOM 실증 사업을 통해 가시적인 성과를 낸 바 있다. 소스코드·완제품·설치환경 등에서 SBOM을 생성해 분석한 결과, 한 보안기업은 취약점이 89.6% 감소했으며 또 다른 의료기업은 80% 줄었다.
이 팀장은 “수출 제품이 아니더라도 공격 시 피해가 큰 대국민 서비스의 공급망 보안 강화가 중요하다”면서 “정책적으로 시급한 분야를 연구해 연관 사업을 추진하겠다”고 말했다.
이동화 한국인터넷진흥원 공급망안전정책팀장.(한국인터넷진흥원 제공) |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
조재학 기자 2jh@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
