국가정보원과 과기정통부는 25일 국가사이버안보센터 판교캠퍼스에서 '소프트웨어(S/W) 공급망 보안 태스크포스(TF)'를 발족했다고 밝혔다. 국정원과 과기정통부는 소프트웨어 공급망 전반의 사이버 위협 요인을 진단하고 보안 정책과 산업계 지원 방안을 마련하기 위해 TF를 만들었다며 소프트웨어 개발·공급·운영 등 공급망 전 단계에 걸친 사이버 보안 체계를 마련하겠다고 강조했다. TF에는 국방부·행정안전부·디지털플랫폼정부위원회·국군방첩사령부 등 관계기관 및 S/W 산업계를 포함한 산학연 전문가들이 참여하고 국정원 주관 ‘정책분과’와 과기정통부 주관 ‘산업분과’로 나눠 매달 그룹별 회의와 전체회의를 가질 예정이다. 정책분과는 △법·제도 △보안지침 △안보위해 △위험관리, 산업분과는 △인프라 △핵심산업 △교육·훈련 △국제통상 등 각각 4개 워킹그룹으로 구성된다. 내년 1월까지 공공분야 S/W 공급망 보안기준 등 보안정책과 함께 보안성 강화가 업계 부담이 아닌 보안기술 역량 제고로 이어지도록 산업지원·육성방안을 마련하고 2027년 시행을 목표로 단계별 로드맵도 공개할 계획이다. 특히 국정원은 현재 망분리 개선방안으로 추진 중인 다층보안체계(MLS)와도 연계해 공공분야 공급망 보안정책을 적극 수립해 나갈 예정이다. 대통령실 신용석 사이버안보비서관은 “전세계적으로 사이버안보에서 공공-민간 협력의 중요성이 강조되고 있는데, 이번 민관 합동 T/F 발족은 S/W 공급망 보안영역에서 공공·민간 협력의 모범사례가 될 것”이라고 말했다. 과기정통부 류제명 네트워크정책실장은 “디지털 전환 가속화에 따라 S/W 공급망 대상 공격이 우리 경제, 사회에 미치는 영향이 증가하고 있다”며 “S/W 공급망 보안이 기업에 부담보다는 경쟁력 강화와 해외 무역장벽 극복을 위한 지원책이 될 수 있도록 민·관이 머리를 맞대어 정책을 수립하겠다”고 밝혔다.  국정원 국가사이버안보센터장은 “S/W 공급망 보안은 최근 국가 사이버안보 분야에서 가장 중요한 요소로 부상했다”며 “산업과 안보에 미치는 영향을 충분히 검토하고 국내 기업들과 공감대를 형성해가면서 S/W 공급망 보안정책을 마련하겠다”고 밝혔다. solidkjy@fnnews.com 구자윤 기자

스패로우는 지난 13일 오후 서울 서초구 엘타워에서 연례 고객 초청 행사인 ‘PUC 2024(Power User Conference)’를 개최했다고 14일 밝혔다. 스패로우는 이번 행사에서 국내외 최대 보안 이슈 중 하나인 소프트웨어(SW) 공급망 보안 동향과 이에 대응하기 위한 실제 적용 사례를 공유했다. 스패로우의 PUC는 다양한 산업군의 IT 및 보안 담당자들에게 최신 애플리케이션 보안 현황 및 대응책을 공유하고자 마련되는 연례 콘퍼런스로, 올해는 ‘차세대 애플리케이션 보안(Next Generation Application Security)'를 주제로 개최됐다. 스패로우는 이날 SW 공급망 보안 방안과 SW 공급망 참여자들의 역할을 제시하고 신기술 기반의 취약점 통합 관리 플랫폼을 제공하기 위한 스패로우의 전략을 소개했다. 키노트로 행사를 연 장일수 스패로우 대표는 “소프트웨어 자재명세서(SBOM) 제출을 의무화하는 EU의 사이버 복원력 법안 발의와 미국의 안전한 SW 개발 체계(SSDF) 준수 요구 등, 각국에서 공급망 보안 강화를 위해 제도화를 추진 중”이라며 “SW의 신뢰성 확보 방안으로 SBOM이 주목받는 가운데, 공급망 참여자들은 오픈소스 뿐만 아니라 자체 개발 및 상용 SW에 존재하는 취약점을 지속 모니터링해 공급망 관리 체계를 구축해 복원력을 강화해야 한다”고 강조했다. 이어 장 대표는 SW 개발 수명 주기(SDLC)에 보안 테스트를 자동화하고 취약점을 통합 관리하기 위한 방안으로 ‘스패로우 엔터프라이즈’를 제시했다. 그는 “소스코드, 오픈소스, 웹 취약점을 하나의 플랫폼에서 분석하는 스패로우 엔터프라이즈는 CI/CD 도구 및 형상관리 도구와 연동해 데브섹옵스(DevSecOps)를 구현할 수 있다”며 “취약점 점검 결과 보고서와 다양한 SBOM 포맷을 지원해 SW 투명성 확보가 가능하다”고 설명했다. 키노트 이후에는 실제로 스패로우 제품을 활용해 SW 공급망 보안을 적용한 사례가 공유됐다. 통합 접근통제 및 계정관리 솔루션 전문 기업 넷앤드의 박일 부장은 발표자로 나서 시큐어 코딩(SAST), 오픈소스 관리(SCA), 웹 취약점 분석(DAST) 도구로 취약점 관리 프로세스를 구축해 사후 관리 비용과 리소스를 절감한 사례를 공개했다. 정보보호 전문서비스 기업 핀시큐리티 한민기 팀장은 스패로우와 컨소시엄을 맺어 참여한 SW 공급망 보안 실증 사업을 기반으로 SW 운영사 관점에서의 SBOM 활용 가이드를 설명했다. 한편 이번 행사에서는 최신 기술 등장에 발 맞춘 스패로우의 로드맵도 공개됐다. 스패로우 윤종원 수석 연구원은 발표를 통해 "코드형 인프라(IaC), 컨테이너 등 애플리케이션 개발 환경에 신기술이 적용되면서 새로운 보안 위협 또한 등장하고 있다"며 “스패로우는 IaC 기반 인프라 취약점 진단, API 명세 기반 보안 취약점 동적 진단, 컨테이너 이미지 분석 등을 지속 연구해 대응해 나갈 것”이라고 말했다. solidkjy@fnnews.com 구자윤 기자

소프트캠프 자회사 레드펜소프트는 소프트웨어(SW)  공급망 보안 솔루션 엑스스캔(XSCAN)에 클라우드 컨테이너 이미지의 스캐닝 및 분석 기능을 출시했다고 29일 밝혔다.  엑스스캔은 클라우드 기반으로 소프트웨어 전달 및 검증 체계를 구현한 소프트웨어 공급망 위협 대응 서비스다. 컨테이너 이미지의 투명한 가시성 확보를 위해 컨테이너 이미지를 구성하는 레이어 및 패키지를 구성하는 제반 아티팩트(산출물)를 표준 소프트웨어 구성 명세서인 SBOM(Software Bill of Materials)으로 생성해낸다.   컨테이너 이미지에 활용된 오픈소스 라이브러리 및 해당 취약점과 라이선스 이슈도 추적해낸다. 이미 공격 당한 알려진 악용된 취약점 KEV(Known Exploited Vulnerability)와 공격 당할 가능성이 매우 높은 취약점 HEV(Highly Exploitable Vulnerability) 정보를 제공하여 취약점 대응의 우선순위를 설정할 수 있다.   한편 API키 등 컨테이너 이미지에 노출된 비밀은 중대한 침해로 이어질 수도 있다. XSCAN은 컨테이너 이미지에 포함된 비밀 데이터 정보도 찾아준다.  기존 XSCAN이 가지고 있던 생성형AI 연계 기능을 컨테이너 이미지 분석에도 확장해 컨테이너 이미지의 각 레이어에 포함된 명령어의 목적과 기능을 알기 쉽게 해석해 준다.    레드펜소프트 전익찬 부대표는 “정부의 SW공급망 보안 가이드라인의 공식 발표와 더불어 SBOM 도구 시장이 본격 개화할 것으로 전망한다”며  “이번 컨테이너 이미지 스캐닝 및 분석 기능 출시를 통해 클라우드로의 이행을 고민하는 고객분들께 새로운 가치를 제공할 수 있게 됐다”고 말했다.  solidkjy@fnnews.com 구자윤 기자

스패로우는 23일 서울 강남구 인터컨티넨탈 서울 코엑스에서 열린 ‘SAS 서밋 2024(Sparrow Application Security Summit 2024)’를 성황리에 마무리했다고 밝혔다.  SAS 서밋은 스패로우의 플래그십 CIO·CISO 조찬 세미나로, 이 날 대기업과 공공기관, 금융사 등 다양한 산업 분야의 C레벨 30여명이 함께했다. 행사는 총 3개의 세부 세션으로 구성해, 소프트웨어(SW) 공급망 공격 대응을 위한 애플리케이션 보안 전략과 개발 환경 변화에 따른 취약점 관리 방안을 제시했다. 먼저 스패로우는 BlackHat Asia와 RSA 등 글로벌 보안 콘퍼런스와 SW 공급망 보안 관련 국내 정책 동향에서 획득한 인사이트를 기반으로 한 최신 애플리케이션 보안 트렌드를 발표했다. 안전한 소프트웨어 개발 및 운영을 위한 개발사, 공급사, 운영사의 역할을 짚어보며 SW 개발 생명주기(SDLC)에 보안 테스트를 자동화하고 취약점을 통합 관리해 소프트웨어의 투명성과 신뢰성을 확보해야 한다고 강조했다. 스패로우는 애플리케이션 개발 환경 변화에 따른 보안 기술 적용 방법도 제시했다. IaC(Infrastructure as code, 코드형 인프라), 컨테이너 이미지, 마이크로 서비간 API 등 새로운 기술의 등장에 따라 발생하고 있는 새로운 보안 위협과 대응 방법을 제안했다. 이어 인공지능(AI) 기반으로 취약점을 식별, 분류, 조치하는 방법과 함께 전반적인 취약점 관리를 통한 보안 가시성 확보의 중요성을 공유했다. 이 외에도 스패로우는 과학기술정보통신부와 KISA에서 작년에 진행한 ‘SW 공급망 보안 실증사업’에 참여했던 경험을 기반으로 5월 정부에서 발표한 ‘SW 공급망 보안 가이드라인 v1.0’에 대응하는 방안을 제시했다. 안전한 소프트웨어 공급망을 조성하기 위해서는 소프트웨어 자재명세서(SBOM)의 활용뿐만 아니라 공급망 주요 참여자들이 보안 테스트와 SW 인수테스트 등 공동으로 보안 취약점에 대응하는 것이 중요하다고 강조했다. 장일수 스패로우 대표는 “SW 공급망 보안은 나홀로 보안에 관심을 가진다고 해결할 수 없으며 공동 대응이 필요한 문제이기 때문에 다양한 분야의 C레벨 분들과 소통하는 자리를 마련했다”며 “스패로우는 SW 공급망 보안 체계 확립을 위해 단계별 필수 애플리케이션 보안 테스팅 제품을 보유하고 있는 만큼 기업 및 기관들이 SW 공급망 공격에 적절히 대응할 수 있도록 지원을 계속해 나가겠다”고 말했다. solidkjy@fnnews.com 구자윤 기자

과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회는 민관 협력을 통해 ‘소프트웨어(SW) 공급망 보안 가이드라인 1.0’을 마련했다고 12일 밝혔다. 이번 가이드라인은 확산되고 있는 SW 공급망 사이버보안 위험과 미국, 유럽 등 해외 주요국의 SW 구성요소 명세서(SBOM) 제출 의무화 등에 대응해 정부·공공기관 및 기업들이 자체적인 SW 공급망 보안 관리 역량을 갖출 수 있도록 지원하기 위해 기획됐다. 또한 가이드라인은 국산 SW에 대한 SBOM 실증 및 SW 공급망 보안 테스트베드 시범 운영 결과 등을 반영한 것으로, 세계적으로도 유례 없는 실무 안내서이며 향후 미국 등 주요 국가와 협력을 통해 해외에도 적극 소개할 계획이라고 정부 측은 전했다. 가이드라인은 전체본(100여 페이지)과 요약본(16 페이지)으로 제공되며 정부·공공기관 정책결정자 및 기업 경영진 등은 요약본을 통해 쉽고 빠르게 SW 공급망 보안에 관한 주요 내용을 이해할 수 있을 것으로 기대된다. 현재 정부는 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW 공급망 보안 관리체계를 구축하고 기업 지원 서비스를 제공하고 있다. 가이드라인에는 정부·공공 기관 및 기업들이 SBOM 기반 SW 공급망 보안 관리체계를 도입하는 과정에서 시행 착오를 줄일 수 있도록 SBOM 유효성 검증, SW 구성요소 관리 요령 및 SBOM 기반 SW 공급망 보안 관리 방안 등을 상세하게 수록했다. 가이드라인은 과기정통부, 국정원, 디플정위와 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호산업협회(KISIA) 등 정부·공공기관 홈페이지를 통해 13일 정오부터 무료로 내려받아 사용할 수 있다. 정부는 가이드라인이 다양한 산업 분야에서 활용될 수 있도록 홍보하고 디지털플랫폼정부 주요시스템(DPG Hub 등) 구축 시 SBOM을 시범 적용해 우수 사례를 도출해 발전시킬 계획이다. 정부는 SBOM 도입 등의 제도화가 필요하지만 체계적인 준비 없이 제도를 성급하게 도입할 경우 SW 개발기간이 장기화되고 원가 상승 요인으로 작용해 기업들에 부담이 될 수 있다는 점을 감안했다. 따라서 기업들에 대한 SBOM 적용 지원을 강화하면서 SW 공급망 보안 저변을 확대하고 향후 주요국의 제도화 동향과 국내 산업 성숙도를 고려하며 점진적으로 제도화를 준비할 방침이다. 또한 올해 하반기에는 산·학·연 전문가들이 참여하는 범정부 합동TF를 구성해 세부적인 정부 지원 방안, 제도화 추진 방향 등에 대한 심도 있는 논의를 진행한 뒤 ‘SW 공급망 보안 로드맵’을 마련할 계획이다. solidkjy@fnnews.com 구자윤 기자

범정부 차원에서 민관 협력으로 마련한 '소프트웨어(SW) 공급망 보안 가이드라인'이 공개됐다. 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회는 한국인터넷진흥원(KISA)과 함께 18일 서울 광화문 인근에서 가이드라인의 주요 내용을 공유하고 향후 국내 확산방안 등을 논의하는 'SW 공급망 보안 가이드라인 간담회'를 개최했다. 가이드라인은 총 4개장으로 구성돼 있으며 디플정위의 공급망 보안 정책방향, 국내 전문가들의 연구결과, 국산 SW에 대한 SBOM 실증 및 SW 공급망보안포럼 논의 결과, SW 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과를 담고 있다. 1장에서는 디지털화에 따른 공개 SW 활용 확대 등 환경변화, 주요 SW 공급망 보안 사고사례 및 이에 대응하는 미국, 유럽, 일본 등 주요국의 SW 공급망 보안 제도화 추진현황 분석을 통해 우리나라도 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련･확산할 필요가 있다는 시사점을 도출했다. 2장은 국내 SW 공급망 보안 전문가들의 연구결과를 반영해 안전한 SW 개발･운영을 위해 지켜야 할 개발사 및 SW 고객사 역할을 규정하고 ‘SW 공급망 참여자들의 사이버보안 및 활동 권고’와 함께 안전한 SW 개발체계(SSDF) 활용방안을 제시했다. 또 SW 공급망 보안을 위한 가장 효과적인 수단으로 활용되고 있는 SBOM 국제 표준을 소개했고 정부･공공 기관 및 민간 기업들이 활용할 수 있는 ‘SW 개발 생명주기에 따른 SBOM 관리방안’과 함께 국가적 차원의 SW 공급망 보안 관리체계도 제안했다. 3장은 국내 정부･공공 기관 및 민간 기업들이 SW 공급망 보안 관리를 위한 시행착오를 줄일 수 있도록 지원하기 위해 마련됐다. 이를 위해 과기정통부･KISA는 국내 사이버보안 전문기업들과 함께 국산 SW를 대상으로 SBOM을 생성하고 보안 취약점을 탐지･조치하는 일련의 과정을 알기 쉽게 제시했으며, 실무자들이 쉽게 활용할 수 있는 공급망 각 단계별 이용자 보안 점검항목 30개도 선보였다. 4장은 국내 정부･공공 기관 및 민간 기업 등의 'SBOM 기반 SW 공급망 보안' 도입 지원을 위한 정부 지원 상황을 소개했다. 강도현 과기정통부 2차관은 “SW 공급망 보안 가이드라인이 기업 활동을 저해하는 규제가 아니라 기업 자체적인 보안활동을 강화함으로써 국산 SW의 품질을 높이고 국제적인 경쟁력을 확보해나갈 수 있는 기반이 될 수 있도록 중소기업 지원에 노력을 아끼지 않겠다”고 말했다.  solidkjy@fnnews.com 구자윤 기자

레드펜소프트는 한화생명에 클라우드 기반의 소프트웨어(SW) 공급망 보안 솔루션 ‘XSCAN(엑스스캔)’을 공급한다고 11일 밝혔다. 레드펜소프트는 소프트캠프와 엔키의 합작회사다.  소프트웨어 공급망을 이용한 공격이 금융권에도 지속적으로 발생하고 있어 이용자 피해예방 등을 위해 선제적 대응이 필요하다. 기존 취약점 점검 방식은 오픈소스로 제공되거나 공표된 취약점만 관리 가능하고 이미 만들어진 상용 소프트웨어 점검은 어려운 상황이다. 따라서 이를 보완하면서 전자금융감독규정 제29조(프로그램 통제) 가이드라인을 충족시키는게 XSCAN 도입의 결정적인 배경이라고 회사 측은 설명했다. XSCAN은 한화생명이 외주 개발사나 소프트웨어 벤더로부터 제공받은 업데이트∙패치 파일을 이전 버전과 비교해 이상행위가 일어날 가능성이 있는 코드나 비정상적으로 많은 변경이 있을 때 그 내용을 소명하게 하는 서비스를 제공한다. 필요한 경우 화이트 해커가 상세분석 레포트를 제공해준다. 또한 챗GPT를 적용해 한층 더 쉽게 이상 징후 및 대처방법을 파악할 수 있게 한다.  한화생명 조상현 CISO는 “소프트웨어 공급망 보안으로 공급사 소프트웨어에 사용된 log4와 같은 제로데이 취약점을 소프트웨어 자재 명세서(SBOM)를 통해 사전에 식별하여 소프트웨어가 한화생명에 사용되기 전 취약점을 완전히 제거하여 한화생명 대고객 서비스의 정보보호 신뢰도를 제고 할 수 있기를 기대하고 있다”고 말했다. 레드펜소프트 전익찬 부대표는 “XSCAN 서비스를 통해 내부 엔드포인트 장악이나 고객 서비스 사용자에 대한 연쇄 감염 등 공급망 공격으로 발생할 수 있는 막중한 피해를 사전에 차단할 수 있을 것”이라며 “소프트웨어 패치 반입과 검증에 대한 사이버 보안 관점의 프로세스 개선 및 워크 플로우 구현을 통해 능동적이고 선제적인 사이버 대응 체계 구축이 가능하다”고 밝혔다. solidkjy@fnnews.com 구자윤 기자

과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 소프트웨어(SW) 개발, 시험, 유통, 운영 등 공급망 전단계에 걸쳐 제품·서비스 투명성을 확보하고 체계적인 SW 공급망 보안 관리체계 마련을 위한 실증사업에 착수한다고 27일 밝혔다. 이번 사업은 최근 사이버보안 위협이 SW 공급망에 집중되면서 이에 대한 체계적인 대응체계 수립 방안을 마련하는 한편 정보보안 전문인력 등이 부족한 중소기업들을 실질적으로 지원하기 위한 기반을 마련하기 위한 것이다. SW공급망 보안 관리체계를 확보하기 위한 수단 중 하나로 SW 구성 명세서(SBOM : SW Bill of Materials)가 크게 주목 받고 있다. 이번 사업에서는 각 제품･서비스의 SBOM을 생성･분석해 보안 취약점을 발굴･조치하는 등 사이버보안 위협에 사전 대응하고 침해사고 발생 시 즉각 조치, 중장기 대응 및 지속 모니터링 등의 보안 관리 체계를 수립하기 위한 다양한 실증을 추진한다. 과기정통부와 KISA는 이번 사업의 결과를 기반으로 향후 SW 공급망 보안 관리 체계를 수립하는 한편 국내 SW 기업들이 해외 수출 시 SBOM 제출 의무화 등의 무역장벽을 극복할 수 있도록 SBOM 생성･분석, 보안조치 및 전문 컨설팅 체계를 마련할 계획이다. SW 개발 및 패치 서버 등에 대한 SW 공급망 공격은 피해 범위가 넓고 크며, 연쇄･지속적인 특성이 있는 반면에 SW공급망 보안 관리 체계를 잘 정립하면 사전 대응이 가능하고, 침해사고 발생 시 효과적으로 대응할 수 있다. 이와 같이 침해사고에 대응하는 측면 외에도 기업 차원에서는 SW 공급망 전 단계에서 투명성을 확보함으로써 자사 제품·서비스에 대한 품질을 높이고 소비자 신뢰성을 확보할 수 있으며 높아지고 있는 무역장벽에도 선제적으로 대응할 수 있다. 이번 사업에는 국내 정보보호 전문기업인 핀시큐리티, 스패로우, 레드펜소프트가 참여해 국산 보안 솔루션, 업무용 SW 등을 대상으로 개발부터 운영에 이르는 전체 공급망 체계를 분석하고 공급망 전단계에서 각 대상 SW에 대한 SBOM 생성, 보안 취약점 분석 및 조치, 보안 컨설팅 등을 제공한다. 제품·서비스 개발단계에서는 스패로우 ‘스패로우 SCA’를 통해 SBOM 생성, 취약점 분석･조치 및 컨설팅 등을 수행하며 특히 취약점을 분석할 때는 보안 취약점 공통식별자 목록(CVE) 등을 활용한다. 운영단계 즉 수요 기업이 활용하는 제품･서비스에 대해서는 레드펜소프트 ‘XSCAN’로 같은 절차를 수행하고 결과를 비교하는 방법 등을 통해 유효성을 입증하는 등의 실증을 추진할 예정이다. 과기정통부는 이번 사업의 실증 결과를 토대로 SBOM 기반의 보안 취약점 분석･조치, 개발･유통 환경의 보안대책을 포함하는 SW 공급망보안 가이드라인을 마련하는 등 국내 SW 기업들의 경쟁력 강화를 지원하기 위한 기반을 구축하고 국민들이 안심하고 SW를 사용할 수 있는 환경을 만들어 갈 계획이다. 아울러 실증 사업을 통해 확보되는 기업 제품·서비스 등의 분석 데이터는 비식별 보안 처리해 향후 SW 공급망 보안 관리 체계를 구축하기 위한 기초 데이터로 활용되며 기업으로부터 협조받은 원천 정보는 실증 후 파기 또는 반환 조치한다. 과기정통부 정창림 정보보호네트워크 정책관은 “최근 발생하는 공급망 보안 공격은 기업이 자체적으로 대응하기 어렵고 사회·경제적 피해도 커서 사전 대응체계 구축 등 SW 공급망 전체를 관리할 필요가 있다”며 “과기정통부는 실제 산업 현장에서 체감할 수 있는 실효성 있는 SW 공급망 보안 관리체계를 구축할 계획이며, 이를 위해 SW 공급, 유통 및 운영 기업들의 많은 참여와 관심으로 요청드린다”고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스] 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)은 26일 ‘제로트러스트·공급망 보안 포럼 발족식’을 개최했다고 밝혔다. 제로트러스트는 ‘아무것도 신뢰하지 않는다’는 것을 전제로 한 사이버보안 모델이다. 사용자나 기기 접근을 철저히 검증하고 검증 이후에도 최소한의 권한만 부여한다. 공급망 보안은 소프트웨어(SW) 제품의 개발부터 운영·유지보수까지 SW공급 전 단계에 투입되는 자원 및 프로세스에 대한 취약점을 점검하고 보안 관리하는 형태다. 이날 행사는 새로운 보안체계로 주목받고 있는 제로트러스트와 공급망 보안이 국내 정보보호 환경에 도입될 수 있도록 논의하기 위해 마련됐다. 특히 사회 전반에 디지털 대전환이 빠르게 이뤄지고 클라우드와 사물인터넷(IoT) 기기 급증으로 네트워크가 확장되는 상황에서 내부 직원 계정과 권한을 탈취한 해커를 정상 이용자로 신뢰하여 내부자료 유출 등 피해를 입는 사례가 증가하고 있다. 이러한 문제를 해결하기 위해 모든 대상에 대한 잠재적 위협을 미리 식별, 새로운 접근에 대해서는 거듭 확인하여 적절한 권한을 부여하는 제로트러스트가 주목받고 있다. 미국 바이든 정부도 국가 사이버보안 개선에 대한 행정 명령을 발표하면서 제로트러스트 아키텍처를 연방정부에서 구현하도록 요구했다. 또 미연방기관에 SW내장 제품을 납품할 경우 SW 구성요소 식별을 위한 명세서(SBOM) 제출을 의무화 하는 등 공급망 보안 강화에도 집중하고 있다. 과기정통부와 KISA 역시 올해 초부터 ‘사이버보안 패러다임 전환 연구반’을 구성해 미국, 영국 등 사이버보안 선진 사례를 분석해 우리나라 산업 맞춤형 보안모델과 가이드라인 마련 필요성을 제시한 바 있다. 이를 구체화 하고 보안 패러다임 변화에 능동적으로 대응하기 위해 제로트러스트·공급망 보안 포럼을 발족했다는 설명이다. 향후 제로트러스트·공급망 보안 포럼은 운영위원회, 제로트러스트 분과 2개, 공급망 보안분과 2개로 구성된다. 각 분과별로 정책·제도, 기술·표준과 산업 등의 관점에서 보안 관련 현안을 정책과제로 정해 관련 기술개발 연구, 실증사업을 통해 검증을 진행하고 최종적으로는 국가 표준화를 목표로 추진할 계획이다. 과기정통부 박윤규 제2차관은 “디지털로 전환되면서 기존 네트워크 경계 중심 보안은 한계가 다가오고 있으며 고도화되는 사이버 공격에 대응할 수 있는 전략과 전술이 필요한 시점”이라며 “앞으로 제로트러스트와 공급망 보안을 기반으로 민간·공공, 제조·금융, 통신 등에 체계적으로 적용, 관련 기술과 솔루션 개발, 지원방안을 마련할 계획이다”라고 밝혔다. elikim@fnnews.com 김미희 기자

미국 대선의 불확실성은 걷혔지만 리스크는 커졌다. 신흥 강국에 대한 방패막이를 원한 미국인들은 검투사 트럼프에게 '위대한 미국의 영광'을 재현할 임무를 맡겼다. 트럼프의 정책 기조는 미국 우선주의다. 대외적으로 보호무역주의의 강화, 대내적으로 감세 추진과 공공지출 확대가 핵심이다. 감세에 따른 재정적자는 높은 관세를 부과해 충당한다는 의도다. 물론 기업 감세분으로 연구개발 투자를 확대할 경우 미국의 글로벌 경쟁력이 강화될 수 있다. 반면 이 같은 일방적 정책이 미치는 파급효과를 고려하면 글로벌 공급망에 충격을 줄 수밖에 없다. 트럼프의 귀환은 모든 국가에 트레이드 오프(trade-off)로 다가온다. 한쪽이 좋아지면 다른 한쪽은 나빠지는 상충 관계가 공약 곳곳에서 감지된다. 트럼프 정책이 겨냥하는 중국과의 패권 경쟁이 한국에 기회로 작용할 수도 있다. 판이 흔들리는 불균형 상태에서 드러나는 동력을 발굴해야 한다. 가변성 많은 트럼프의 정책에 그만큼 유연성 높은 전략으로 대응하기 위해서는 '하이브리드형 전략' 추진이 바람직하다. 예를 들어 상대국의 정책 방향에 따라 전기차와 내연차의 수출 비중을 조정하면 소재와 부품 산업의 비중도 달라질 수밖에 없을 것이다. 하이브리드형 전략에서는 상황이 변하더라도 전략의 방향키를 유연하게 틀 수 있다. 이에 따른 첫째 전략은 안보와 원자력 산업을 묶는 패키징 협상이다. 9배 증액되는 방위비 분담액은 무자비한 부담이 아닐 수 없다. 무엇을 타협하고 거래할 것인가. 미국의 핵 자산 공유, 또는 한미원자력협정 개정을 통한 사용후핵연료 재처리 허용과 기술 확보를 협상조건으로 적극 고려해야 한다. 이와 함께 원자력·화석연료 의존도를 높이겠다는 트럼프의 정책에 부응하면서 소형모듈원자로(SMR) 연구개발에 협력하고, 석유화학 산업 투자를 늘리는 하이브리드 전략을 택하는 것이다. 물론 유럽에 대해선 이와 다른 방식의 대처가 필요하다. 둘째, 미국과 중국의 '뉴 그레이트 게임(New Great Game)'에서 틈새를 찾아야 한다. 전기차는 중국과, 내연차는 미국과 협업하는 하이브리드 전략이 우리의 대안 아닐까. 중국도 반도체나 이차전지 분야에서 한국과 협력이 불가피할 것이다. 중국의 전반적 기술 수준이 한국을 추월한 현실에서 전략적 협력을 간과할 수 없다. 타협은 기회를 찾아가는 과정이기도 하다. 이때 트럼프의 대중제재 범위를 넘어선 안 될 것이다. 셋째, 인플레이션감축법(IRA) 전면 폐기는 어려우리라는 전망 속에 배터리나 반도체 관련 보조금 지급도 어느 정도는 기대해도 좋을 듯싶다. 이와 관련, 미국의 우방국 반도체 동맹 '칩(Chip) 4'의 위상이 흔들리지 않도록 밸류체인 중 반도체 생산에 있어 한국의 미국 경제 기여도를 각인시킬 필요가 있다. 우주기술과 조선기술의 상호이전 등 공동 연구개발을 목표로 과학기술 동맹 외교의 지평을 확대하는 방안도 어젠다에 담아야 한다. 넷째, 지난해 수립한 '12대 국가전략기술'의 투자·확보 우선순위 재조정도 검토해야 한다. 3대 게임체인저(AI·반도체, 첨단바이오, 양자) 외에 우주·항공·해양, 차세대 원자력, 차세대 통신, 사이버 보안 분야도 위상 강화가 시급하다. 기술수준 평가에서 다시 중국을 압도할 수 있는 계기가 필요하다. 한국이 지정학적 숙명을 극복하고 지속 가능한 미래를 스스로 개척해 나갈 수는 없는가. 과학기술이 정치를 좌우하는 기정학 시대에 그 돌파구는 다름 아닌 과학기술에 있다. 이미 서구에서는 산업혁명이 시작된 18세기 말, 아직 지식 수준이 척박했던 조선 땅에서 중상주의를 외치며 상공업 진흥정책을 '북학의'에 담은 실학자 박제가의 시대를 앞서간 통찰이 그리워지는 만추(晩秋)다.임기철 광주과학기술원 총장