[서울=뉴시스]윤정민 기자 = 정부가 공공기관에 납품되는 모든 소프트웨어(SW) 제품을 대상으로 일종의 '성분 표시제'를 도입한다. 최근 고도화되는 글로벌 해킹 위협에 대응해 소프트웨어 제작에 들어간 세부 구성요소를 투명하게 관리하겠다는 취지다.

과학기술정보통신부와 국가정보원은 한국정보보호학회가 24일 서울 서초구 aT센터에서 연 '공급망보안 워크숍'에서 국가 차원의 'SW 공급망 보안 로드맵'을 공개했다.

로드맵에 따르면 정부는 소프트웨어 개발과 공급 단계부터 보안을 내재화해 투명성을 높인다. 완성된 제품만 검사하던 기존 방식에서 벗어나 제품 개발 과정에서 사용된 오픈소스, 외부 라이브러리, 세부 구성요소까지 추적하고 관리하겠다는 취지다.

핵심은 '소프트웨어 자재명세서(SBOM, Software Bill of Materials)'의 활용 확대다. SBOM은 소프트웨어 안에 어떤 부품과 소스코드가 들어갔는지 상세히 적어놓은 디지털 목록표다. 특정 오픈소스나 라이브러리에서 보안 취약점이 발견됐을 때 이를 사용한 제품을 빠르게 찾아내 방어하는 데 쓰인다.

정부는 공급망 보안 체계에 AI를 적용한다. 보안 관리와 위협 대응을 자동화하는 연구를 추진할 방침이다. 기업 내부의 보안 인식을 높이고 공급망 보안 전문 기업과 인력을 양성해 보안 중심의 개발 문화를 정착시킬 계획이다.

정부는 공급망 공격이 기업 간 연쇄 피해로 이어지는 특성을 고려해 위협 탐지·대응 관리 체계도 새로 짠다. 버그바운티(취약점 신고포상제)와 신고·조치·공개 제도(CVD/VDP) 등을 활용해 보안 취약점 발굴 채널을 대폭 확대한다.

공공기관에 납품되는 정보통신 제품의 안보 위해 여부 검증도 깐깐해진다. 민간과 공공 분야별 위험 관리 체계를 각각 구축한 뒤 상호 협력을 통해 위협 확산 방지에 나선다. 범정부 SW 공급망 보안협의체를 마련하고 민간 자율 활동을 돕는 포럼도 운영한다.

공공기관이 도입하는 정보보호 제품이 국가 보안 기준에 맞는지 확인하는 '보안적합성 검증' 제도의 대상 제품도 늘린다. 요구사항도 한층 세분화한다. 아울러 사이버 보안 선도국과의 협력 체계를 강화하고 국내외 인증제도 간 상호인정을 확대해 국내 보안 기업의 해외 진출을 지원할 방침이다.

정부가 이처럼 공급망 보안 옥죄기에 나선 이유는 최근 소프트웨어가 제조, 교통, 의료 등 다양한 핵심 산업과 결합했기 때문이다. 디지털 전환의 핵심 요소로 자리 잡았으나 개발과 운영 과정이 복잡해지면서 이를 노린 공급망 공격이 여러 기관의 동시다발적 피해로 이어지는 사례가 급증했다.

임정규 과기정통부 정보보호네트워크정책관은 "복잡해지는 SW 공급망을 노린 사이버 위협이 증가하고 AI를 활용한 빠르고 광범위한 사이버 공격이 본격화되는 상황에서 공급망 보안이 어느 때보다 중요해졌다"며 "공급망 보안을 지속 강화해 나가겠다"고 말했다.

국정원 관계자는 "SW 공급망 보안 로드맵이 국가와 기업의 사이버안보 수준을 한 단계 끌어올리는 중요한 이정표가 될 것으로 기대한다"며 "민관 협력을 통해 글로벌 공급망 위협에 선제적으로 대응하겠다"고 밝혔다.

◎공감언론 뉴시스 [email protected]

Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지