.gif)
과기정통부, ‘SW 공급망 보안 추진을 위한 현장 간담회’ 개최
박윤규 차관, SW 개발·유통·운영 전반에 공급망보안 추진방안 논의
간담회 참여 전문가들, SW 공급망 전 과정에서의 보안 취약점 대응 등 필요성 공감
[보안뉴스 김영명 기자] 과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’)는 1일 LG전자 서초 캠퍼스에서 소프트웨어(SW) 공급망보안포럼 위원 등이 참석하는 ‘SW 공급망 보안 추진을 위한 현장 간담회’를 개최했다고 밝혔다.
▲과기정통부가 1일 SW 공급망보안포럼 위원 등이 참석하는 ’SW 공급망 보안 추진을 위한 현장 간담회’를 개최했다[사진=과기정통부]
이날 행사는 해외 SW 공급망 보안 동향과 함께 FOSSLight(Free Open Source Software Light, 오픈소스 SW의 빛)를 기반으로 SW 공급망보안을 체계적으로 시행하고 있는 LG전자의 사례를 공유하고, 국가적 차원에서 SW 공급망보안 체계 수립 및 향후 국내 중소기업이 해외시장 진출 시 현실화될 수 있는 SW 공급망보안 관련 무역장벽을 극복할 수 있도록 지원하는 방안을 논의했다.
이번 간담회는 SW공급망보안 포럼 위원, SW 공급망보안 도입을 준비하는 기업 및 스패로우, 레드펜소프트 등 국내 SW 공급망보안 솔루션 전문기업에서 참여했다.
첫 번째 주제는 고려대 최윤성 교수가 △SW 공급망 공격사례 △세계 각국의 SW 공급망보안 정책 동향 △국내 SW 공급망보안의 필요성 등에 대해 차례로 발표했다.
두 번째 주제는 LG전자 김경애 소프트웨어센터 연구위원이 △LG전자의 SW 공급망보안 관리 현황 △SW 보안 취약점 발견 시 조치대응 과정을 공유하고, FOSSLight를 시연해보는 시간을 마련했다.
세 번째로 한국인터넷진흥원 이익섭 디지털안전단장은 △공급망보안 소개 △국내 공급망보안 추진 현황 △국내 SW 공급망보안 추진 방향 △향후 계획 등에 대해 발표했다.
이날 전문가들은 SW 공급망보안 필요성에 공감하며, SW 개발·유통·운영 등 SW 공급망 전 과정에서 보안 취약점 발견·조치, 사고 대응방안과 향후 SW 공급망보안을 중심으로 발생할 수 있는 무역장벽 해소방안 등에 대해서 심도 있게 논의했다.
SW 공급망은 SW 개발에서부터 시험, 유통(패치 포함), 운영까지의 전 과정을 의미한다. Log4j, 솔라윈즈 등은 대표적인 SW 공급망 공격사례로 그 파급효과가 연쇄적이고, 지속적인 특성이 있어서 SW 공급망에 대한 보안 대책이 필요하다.
SW 공급망에 대한 사이버위협 증가는 최근 SW 개발과정에서 공개 SW 활용 비중이 높아졌고, SW 개발과 유통, 운영이 전국적인 범위를 넘어 전 세계적으로 연결돼 사이버공격 효과성이 높은 것도 원인이 될 수 있다. 따라서 개별 기업 차원에서 SW 공급망보안 대책이 필요할 뿐만 아니라 국가적 차원의 SW 공급망보안 체계가 필요하다. 기업은 SW 공급망보안을 통해 자사 제품의 투명성을 확보해 고객의 신뢰를 높일 수 있고, 국가적 차원에서는 사이버위협에 대한 사전 대응 및 체계적 사후조치를 통해 피해를 최소화할 수 있으며, 향후 국내 기업들의 해외진출을 체계적으로 지원할 수 있다.
미국 바이든 행정부는 2021년 5월에 SW 공급망보안을 강화하는 행정명령(EO 14028)을 발표했으며, 유럽공동체도 지난해 9월에 SW 공급망보안 관련 법안(Cyber Resilience Act) 개정안을 발의하고 현재 입법 논의를 진행하고 있다.
과기정통부는 지난해 10월 정부·공공 및 민간의 전문가들이 참여하는 SW공급망보안포럼을 발족하고, 실효성 있는 SW 공급망보안 체계를 도입하기 위해 다양한 논의를 진행하고 있다. 이번 현장 간담회는 포럼 토론회와 함께 진행됐다.
SW 공급망보안은 SW 개발과정에서 포함되는 다양한 공개 SW 목록 등 주요 구성품의 명세서인 SBOM(SW Bill of Materials) 분석을 통해 SW에 포함된 보안 취약점을 발견할 수 있으며, SW 유통·운영과정에서도 제공된 명세서(SBOM, 이하 ‘SBOM’)의 지속적인 분석을 통해 SW 보안성을 확보할 수 있다.
▲과기정통부가 추진하는 소프트웨어 공급망보안 개념도[자료=과기정통부]
SBOM 분석을 통해 발견한 보안 취약점은 위험도 평가를 통해 고위험인 경우에는 즉각 조치, 중간 수준은 중장기 대책 강구, 저 수준은 현행유지(지속관찰) 등의 조치를 취한다. SBOM 생성, 데이터베이스 구축 및 취약점 분석, 조치 등 보안체계 구축을 위해서는 전문인력 확보, 관련 시스템 구축 및 법제도 정비 등 제반사항 검토와 함께 현장 실증을 통한 실효성 있는 관리 체계 구축, 국제적 협력을 통해 더 높은 보안 수준을 확보할 필요성이 있다.
과기정통부는 SW 공급망보안 체계 구축을 위해 올해 보안 전문기업들이 참여하는 실증사업을 추진하고 있으며, 이를 통해 본격적인 SW 공급망보안 체계 구축을 위해 세부계획을 검증한다. 또한, 내년부터는 SW 공급망보안 관련 시스템 구축, 인력확보, 지원체계 정비 등 기반 구축을 위해 예산당국과 협의해 국회에 예산 편성을 요청할 계획이다.
이날 토론회를 주재한 과기정통부 박윤규 제2차관은 “모바일, 사물인터넷, 클라우드의 확산과 함께 원격·지사·재택근무 등이 일상화·보편화되면서 기존 경계 중심 보안체계가 큰 도전을 받고 있다”며 “SW 개발·유통·운영 등 공급망 전반에 대한 보안체계를 수립하는 한편 국내 기업의 해외진출을 위한 무역장벽 극복도 적극적으로 지원하겠다”고 말했다.
[김영명 기자(boan@boannews.com)]
박윤규 차관, SW 개발·유통·운영 전반에 공급망보안 추진방안 논의
간담회 참여 전문가들, SW 공급망 전 과정에서의 보안 취약점 대응 등 필요성 공감
[보안뉴스 김영명 기자] 과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’)는 1일 LG전자 서초 캠퍼스에서 소프트웨어(SW) 공급망보안포럼 위원 등이 참석하는 ‘SW 공급망 보안 추진을 위한 현장 간담회’를 개최했다고 밝혔다.
▲과기정통부가 1일 SW 공급망보안포럼 위원 등이 참석하는 ’SW 공급망 보안 추진을 위한 현장 간담회’를 개최했다[사진=과기정통부]
이날 행사는 해외 SW 공급망 보안 동향과 함께 FOSSLight(Free Open Source Software Light, 오픈소스 SW의 빛)를 기반으로 SW 공급망보안을 체계적으로 시행하고 있는 LG전자의 사례를 공유하고, 국가적 차원에서 SW 공급망보안 체계 수립 및 향후 국내 중소기업이 해외시장 진출 시 현실화될 수 있는 SW 공급망보안 관련 무역장벽을 극복할 수 있도록 지원하는 방안을 논의했다.
이번 간담회는 SW공급망보안 포럼 위원, SW 공급망보안 도입을 준비하는 기업 및 스패로우, 레드펜소프트 등 국내 SW 공급망보안 솔루션 전문기업에서 참여했다.
첫 번째 주제는 고려대 최윤성 교수가 △SW 공급망 공격사례 △세계 각국의 SW 공급망보안 정책 동향 △국내 SW 공급망보안의 필요성 등에 대해 차례로 발표했다.
두 번째 주제는 LG전자 김경애 소프트웨어센터 연구위원이 △LG전자의 SW 공급망보안 관리 현황 △SW 보안 취약점 발견 시 조치대응 과정을 공유하고, FOSSLight를 시연해보는 시간을 마련했다.
세 번째로 한국인터넷진흥원 이익섭 디지털안전단장은 △공급망보안 소개 △국내 공급망보안 추진 현황 △국내 SW 공급망보안 추진 방향 △향후 계획 등에 대해 발표했다.
이날 전문가들은 SW 공급망보안 필요성에 공감하며, SW 개발·유통·운영 등 SW 공급망 전 과정에서 보안 취약점 발견·조치, 사고 대응방안과 향후 SW 공급망보안을 중심으로 발생할 수 있는 무역장벽 해소방안 등에 대해서 심도 있게 논의했다.
SW 공급망은 SW 개발에서부터 시험, 유통(패치 포함), 운영까지의 전 과정을 의미한다. Log4j, 솔라윈즈 등은 대표적인 SW 공급망 공격사례로 그 파급효과가 연쇄적이고, 지속적인 특성이 있어서 SW 공급망에 대한 보안 대책이 필요하다.
SW 공급망에 대한 사이버위협 증가는 최근 SW 개발과정에서 공개 SW 활용 비중이 높아졌고, SW 개발과 유통, 운영이 전국적인 범위를 넘어 전 세계적으로 연결돼 사이버공격 효과성이 높은 것도 원인이 될 수 있다. 따라서 개별 기업 차원에서 SW 공급망보안 대책이 필요할 뿐만 아니라 국가적 차원의 SW 공급망보안 체계가 필요하다. 기업은 SW 공급망보안을 통해 자사 제품의 투명성을 확보해 고객의 신뢰를 높일 수 있고, 국가적 차원에서는 사이버위협에 대한 사전 대응 및 체계적 사후조치를 통해 피해를 최소화할 수 있으며, 향후 국내 기업들의 해외진출을 체계적으로 지원할 수 있다.
미국 바이든 행정부는 2021년 5월에 SW 공급망보안을 강화하는 행정명령(EO 14028)을 발표했으며, 유럽공동체도 지난해 9월에 SW 공급망보안 관련 법안(Cyber Resilience Act) 개정안을 발의하고 현재 입법 논의를 진행하고 있다.
과기정통부는 지난해 10월 정부·공공 및 민간의 전문가들이 참여하는 SW공급망보안포럼을 발족하고, 실효성 있는 SW 공급망보안 체계를 도입하기 위해 다양한 논의를 진행하고 있다. 이번 현장 간담회는 포럼 토론회와 함께 진행됐다.
SW 공급망보안은 SW 개발과정에서 포함되는 다양한 공개 SW 목록 등 주요 구성품의 명세서인 SBOM(SW Bill of Materials) 분석을 통해 SW에 포함된 보안 취약점을 발견할 수 있으며, SW 유통·운영과정에서도 제공된 명세서(SBOM, 이하 ‘SBOM’)의 지속적인 분석을 통해 SW 보안성을 확보할 수 있다.
▲과기정통부가 추진하는 소프트웨어 공급망보안 개념도[자료=과기정통부]
SBOM 분석을 통해 발견한 보안 취약점은 위험도 평가를 통해 고위험인 경우에는 즉각 조치, 중간 수준은 중장기 대책 강구, 저 수준은 현행유지(지속관찰) 등의 조치를 취한다. SBOM 생성, 데이터베이스 구축 및 취약점 분석, 조치 등 보안체계 구축을 위해서는 전문인력 확보, 관련 시스템 구축 및 법제도 정비 등 제반사항 검토와 함께 현장 실증을 통한 실효성 있는 관리 체계 구축, 국제적 협력을 통해 더 높은 보안 수준을 확보할 필요성이 있다.
과기정통부는 SW 공급망보안 체계 구축을 위해 올해 보안 전문기업들이 참여하는 실증사업을 추진하고 있으며, 이를 통해 본격적인 SW 공급망보안 체계 구축을 위해 세부계획을 검증한다. 또한, 내년부터는 SW 공급망보안 관련 시스템 구축, 인력확보, 지원체계 정비 등 기반 구축을 위해 예산당국과 협의해 국회에 예산 편성을 요청할 계획이다.
이날 토론회를 주재한 과기정통부 박윤규 제2차관은 “모바일, 사물인터넷, 클라우드의 확산과 함께 원격·지사·재택근무 등이 일상화·보편화되면서 기존 경계 중심 보안체계가 큰 도전을 받고 있다”며 “SW 개발·유통·운영 등 공급망 전반에 대한 보안체계를 수립하는 한편 국내 기업의 해외진출을 위한 무역장벽 극복도 적극적으로 지원하겠다”고 말했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
