SW 공급망(개발-유통-운영-패치 등) 예시. 과기정통부 제공
범정부 차원에서 민관 협력으로 마련한 '소프트웨어(SW) 공급망 보안 가이드라인'이 공개됐다.
과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회는 한국인터넷진흥원(KISA)과 함께 18일 서울 광화문 인근에서 가이드라인의 주요 내용을 공유하고 향후 국내 확산방안 등을 논의하는 'SW 공급망 보안 가이드라인 간담회'를 개최했다.
이날 간담회에는 과기정통부 강도현 2차관, 국정원 윤오준 3차장, 디플정위 이용석 단장, 대통령실 신용석 사이버안보비서관 등 관계부처 및 정보통신(ICT), 정보보호, 정유업, 방위산업 등 다양한 산업 분야 전문가들이 참석했다.
첫 발표자로 나선 고려대 최윤성 교수가 ‘공급망 위기관리 체계’ 등 소프트웨어(SW) 공급망 보안 가이드라인 주요내용을 소개했고, 한남대 이만희 교수는 SW 공급망 보안 가이드라인을 기반으로 하는 소프트웨어 자재 명세서(SBOM) 생성 및 보안취약점 관리 실증사례를, KAIST 강병훈 교수는 SW 개발기업의 중요 자산인 SBOM의 안전한 활용방안을 공유한 뒤 참석자들 간 논의가 이어졌다.
가이드라인은 총 4개장으로 구성돼 있으며 디플정위의 공급망 보안 정책방향, 국내 전문가들의 연구결과, 국산 SW에 대한 SBOM 실증 및 SW 공급망보안포럼 논의 결과, SW 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과를 담고 있다.
제1장에서는 디지털화에 따른 공개 SW 활용 확대 등 환경변화, 주요 SW 공급망 보안 사고사례 및 이에 대응하는 미국, 유럽, 일본 등 주요국의 SW 공급망 보안 제도화 추진현황 분석을 통해 우리나라도 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련・확산할 필요가 있다는 시사점을 도출했다.
제2장은 국내 SW 공급망 보안 전문가들의 연구결과를 반영해 안전한 SW 개발・운영을 위해 지켜야 할 개발사 및 SW 고객사 역할을 규정하고 ‘SW 공급망 참여자들의 사이버보안 및 활동 권고’와 함께 안전한 SW 개발체계(SSDF) 활용방안을 제시했다. 또한 SW 공급망 보안을 위한 가장 효과적인 수단으로 활용되고 있는 SBOM 국제 표준을 소개했고 정부・공공 기관 및 민간 기업들이 활용할 수 있는 ‘SW 개발 생명주기에 따른 SBOM 관리방안’과 함께 국가적 차원의 SW 공급망 보안 관리체계도 제안했다.
제3장은 국내 정부・공공 기관 및 민간 기업들이 SW 공급망 보안 관리를 위한 시행착오를 줄일 수 있도록 지원하기 위해 마련됐다.
이를 위해 과기정통부・KISA는 국내 사이버보안 전문기업들과 함께 국산 SW를 대상으로 SBOM을 생성하고 보안 취약점을 탐지・조치하는 일련의 과정을 알기 쉽게 제시했으며, 실무자들이 쉽게 활용할 수 있는 공급망 각 단계별 이용자 보안 점검항목 30개도 선보였다. 제4장은 국내 정부・공공 기관 및 민간 기업 등의 'SBOM 기반 SW 공급망 보안' 도입 지원을 위한 정부 지원 상황을 소개했다.
강도현 과기정통부 2차관은 “새로운 기술의 등장, 해외 주요국가의 제도 변화에 대응해 서둘러 제도를 만들기보다 국제적 변화 흐름 속에서 우리 기업들이 이에 적응할 수 있도록 지원하는 좋은 방안을 찾으려는 노력이 필요한 때"라며 “SW 공급망 보안 가이드라인이 기업 활동을 저해하는 규제가 아니라 기업 자체적인 보안활동을 강화함으로써 국산 SW의 품질을 높이고 국제적인 경쟁력을 확보해나갈 수 있는 기반이 될 수 있도록 중소기업 지원에 노력을 아끼지 않겠다”고 말했다.
solidkjy@fnnews.com 구자윤 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지