SW 공급망 보안 가이드라인 1.0 발표... 어떤 내용 담겼나

2024-04-18 18:28
  • 카카오톡
  • 네이버 블로그
  • url
소프트웨어 공급망 보안 강화, 민관 손잡고 범정부 협력으로 국내 확산 이끈다
‘SW 공급망 보안 가이드라인 1.0(SW 공급망 보안 국제동향 및 SBOM 활용사례)’ 마련
고려대 최윤성 교수, 한남대 이만희 교수, KAIST 강병훈 교수 등 가이드라인 주요 내용 발표


[보안뉴스 김영명 기자] 정부와 기업이 협력해 소프트웨어(SW) 공급망 보안의 국제동향 및 SBOM 활용사례 등을 담은 ‘SW 공급망 보안 가이드라인 1.0’를 마련하는 등 소프트웨어 공급망 보안 강화에 나선다.

과학기술정보통신부(장관 이종호, 이하 과기정통부), 국가정보원(원장 조태용, 이하 국정원), 디지털플랫폼정부위원회(위원장 고진, 이하 디플정위)는 한국인터넷진흥원(원장 이상중, 이하 KISA)과 함께 4월 18일 광화문 국가과학기술자문회의 대회의실에서 ‘SW 공급망 보안 가이드라인 간담회’를 개최했다.


▲‘SW 공급망 보안 가이드라인 간담회’ 주요 참석자들이 기념촬영을 하고 있다[사진=과기정통부]

이날 간담회에는 과기정통부 강도현 2차관, 국정원 윤오준 3차장, 디플정위 이용석 단장, 대통령실 신용석 사이버안보비서관 등 관계부처 및 정보통신(ICT), 정보보호, 정유업, 방위산업 등 다양한 산업분야 전문가들이 참석하여 민관 협력으로 마련한 ‘SW 공급망 보안 가이드라인(이하 가이드라인)’의 주요 내용을 공유하고, 향후 국내 확산방안 등을 논의했다.

SW 공급망 보안 가이드라인의 추진 목적은 SW 공급망 공격에 대응, 공급망의 투명성을 확보해 SW 품질을 높이고, 해외 무역장벽도 극복할 수 있도록 지원하기 위해서다. 이번 가이드라인의 집필에는 과기정통부, 국정원, 디지털플랫폼정부위원회, 한국인터넷진흥원(KISA), 고려대, 한남대, KAIST, SW공급망보안포럼, 한국정보보호산업협회(KISIA) 등이 참여했다. 또한, 디플정위 정책방향, SW공급망보안포럼 논의 및 과기정통부·KISA의 실증결과, 민관 협의체 논의 및 국정원 SBOM 테스트베드 시범운영, 연구진의 SW 공급망 보안 연구결과 등이 집필소재로 활용됐다.


▲SW 공급망의 개발-유통-운영-패치 등 예시[자료=과기정통부]

첫 발표자로 나선 고려대 최윤성 교수가 ‘공급망 위기관리 체계’ 등 SW 공급망 보안 가이드라인 주요 내용을 소개했고, 한남대 이만희 교수는 SW 공급망 보안 가이드라인을 기반으로 하는 SBOM 생성 및 보안취약점 관리 실증사례를, KAIST 강병훈 교수는 SW 개발기업의 중요 자산인 SBOM의 안전한 활용방안을 공유했으며, 참석자들 간 논의가 이어졌다.

‘SW 공급망 보안 가이드라인의 필요성’과 관련해서는 국민의 일상생활과 다양한 산업분야로 널리 확산되고 있는 디지털 제품·서비스에서 SW의 비중이 높아지고, 모든 디지털 제품과 서비스가 네트워크로 연결됨에 따라 SW 보안 취약점을 악용하거나, SW 공급망에 침투해 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 고조되고 있다. 이에 미국 및 유럽 등 주요국에서는 SBOM(SW Bill of Materials) 기반 SW 공급망 보안의 제도화가 추진되고 있어, 국내 정부·공공기관 및 민간기업의 의사결정자 및 실무자들도 SW 공급망 보안의 개념을 쉽게 이해하고, 활용할 수 있도록 지원하기 위해 마련됐다.

고려대 최윤성 교수는 “안전한 SW 사용은 SW 개발에서부터 시작되며, SBOM으로 관리할 대상에 우선순위를 둬서 관리하는 게 중요하다”며 “정부와 연구계에서는 오픈소스 신뢰성 확보를 위한 방안을 고민해야 하고, SW 공급망 위기관리센터를 통해 초기 관리체계를 구축하는 것이 필요하다”고 말했다. 이어 “신뢰성 있는 공급망은 소비자, 공급자, 정부 모두에 필요하고, 기존 사이버보안 체계에 공급망 보안을 추가해 영역을 확장해야 한다”고 강조했다.


▲SW 공급망 참여 주체별 사이버보안 및 활동 권고[자료=과기정통부]

또한 한남대 이만희 교수는 “SW 공급망은 SW 개발 공급망과 SW 유통 공급망으로 나뉜다”며 “SW 개발사와 공급사 및 고객사는 공급망 위험 및 취약점 관리 활동에 적극 나서야 한다”고 설명했다.

한국과학기술원(KAIST) 강병훈 교수는 “SW 공급망 보안 강화를 위한 대표적인 방안으로 제시되는 SBOM의 안전한 활용을 위해서는 SBOM 구성요소 이름별로 취약점 여부를 확인하고, 안전 여부를 지속적으로 점검하며, 바이너리 기반 컴포넌트별 점검을 하는 것이 중요하다”고 말했다.


▲‘SW 공급망 보안 가이드라인 간담회’에서 고려대 최윤성 교수, 한남대 이만희 교수, KAIST 강병훈 교수가 발표하고 있다(좌부터)[사진=보안뉴스]

SW 공급망 보안 가이드라인, 공급망 보안 정책방향과 연구결과, SBOM 실증 결과 등 담겨
SW 공급망 보안 가이드라인은 총 4개 장으로 구성되어 있으며, 대통령 직속 디지털플랫폼정부위원회의 공급망 보안 정책방향, 국내 전문가들의 연구결과, 국산 SW에 대한 SBOM 실증 및 SW 공급망보안포럼 논의 결과, SW 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과를 담고 있다.

제1장에서는 디지털화에 따른 공개 SW 활용 확대 등 환경변화, 주요 SW 공급망 보안 사고사례 및 이에 대응하는 미국, 유럽, 일본 등 주요국의 SW 공급망 보안 제도화 추진현황 분석을 통해 우리나라도 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련·확산할 필요가 있다는 시사점을 도출했다.

제2장은 국내 SW 공급망 보안 전문가들의 연구결과를 반영한 것으로 안전한 SW 개발·운영을 위해 지켜야 할 개발(공급)사 및 SW 고객(운영)사의 역할을 규정하고, ‘SW 공급망 참여자들의 사이버보안 및 활동 권고’와 함께 안전한 SW 개발체계(SSDF: Secure Software Development Framework) 활용방안을 제시했다. 또한 SBOM 국제표준, ‘SW 개발 생명주기에 따른 SBOM 관리방안’과 함께 국가적 차원의 SW 공급망 보안 관리체계도 제시했다.

제3장은 국내 정부·공공 기관 및 민간 기업들이 SW 공급망 보안 관리를 위한 시행착오를 줄일 수 있도록 지원하기 위해 마련됐다. 과기정통부·KISA는 국산 SW를 대상으로 SBOM을 생성하고, 보안 취약점을 탐지·조치하는 일련의 과정을 제시했으며, 공급망 각 단계별 이용자 보안 점검항목 30개도 제시했다.

제4장은 국내 정부·공공기관 및 민간기업 등의 ‘SBOM 기반 SW 공급망 보안’ 도입 지원을 위한 정부 지원상황을 소개하고 있다. 민간 분야 가전, 금융, 스마트도시 등 다양한 SW의 보안 취약점 점검 지원을 위해 SBOM 기반의 SW 공급망 보안 관리 지원체계를 기업지원허브(판교)와 디지털헬스케어보안리빙랩(원주)에 갖추고 있으며, SBOM 자동생성 도구개발 등에 대한 연구개발을 지원하고 있다. 정부·공공에 유통될 수 있는 SW의 보안 취약점 점검 및 시험기관들의 기술지원을 위해 판교 국가사이버안보협력센터에서 테스트베드를 운영하고 있으며, 실무자들이 SBOM을 보다 편리하게 활용할 수 있도록 SBOM 최소 요구항목을 통한 보안 취약점 점검도 지원하고 있다.


▲SW 개발 생명주기에 따른 SBOM 관리 방안[자료=과기정통부]

정부는 SW 공급망 보안 가이드라인을 KISA, NIPA 및 한국소프트웨어산업협회(KOSA), 한국정보보호산업협회(KISIA) 등 유관 단체를 통해 정부·공공기관 및 민간 기업들이 활용할 수 있도록 널리 확산하는 한편, 국내 중소기업들이 SBOM 기반의 SW 공급망 보안 관리체계를 구축하고 자발적인 품질관리 활동을 통해 국산 SW의 품질을 높이고, 해외 무역장벽을 극복할 수 있는 자체 역량을 키워나갈 수 있도록 체계적으로 지원해나갈 계획이다.

‘SW 공급망 보안 가이드라인 1.0’ 발표와 관련해 과기정통부 강도현 2차관은 “새로운 기술의 등장, 해외 주요국가의 제도변화에 대응하여 서둘러 제도를 만들기보다 국제적 변화 흐름 속에서 우리 기업들이 이에 적응할 수 있도록 지원하는 좋은 방안을 찾으려는 노력이 필요한 때”라고 강조하면서 “SW 공급망 보안 가이드라인이 기업활동을 저해하는 규제가 아니라 기업 자체적인 보안활동을 강화함으로써 국산 SW의 품질을 높이고, 국제적인 경쟁력을 확보해나갈 수 있는 기반이 될 수 있도록 중소기업 지원에 노력을 아끼지 않겠다”고 말했다.

이어 국정원 윤오준 3차장은 “최근 북한의 고도화된 해킹조직에 의한 우리나라 국가·공공기관 대상 공급망 위협이 심화되고 있다”고 강조하면서 “이번 가이드라인 발표를 계기로 산업계와 적극적으로 소통하고 해외 국가와 협력을 강화하여 국내 산업계의 부담을 줄이면서도 사이버안보를 강화할 수 있는 공급망 보안 대책을 마련하겠다”고 말했다.

디플정위 이용석 추진단장은 “지난해 발표한 ‘디지털플랫폼정부 실현계획’에 따라 정부 전용 초거대 AI를 도입하고, 클라우드 네이티브 전환 등을 추진하고 있는 상황”이라며, “안전하고 신뢰할 수 있는 디지털플랫폼정부 구현을 위해 시스템 구축 시 SBOM을 시범적으로 활용해 모범사례를 만들고, 나아가 안전한 SW 생태계가 공공부문에 안착될 수 있도록 노력하겠다”고 말했다.

마지막으로 대통령실 신용석 사이버안보비서관은 “많은 부처에서 수많은 분들이 힘을 모아 오늘의 SW 공급망 보안 가이드라인이 탄생한 것 같아 너무 뿌듯하다”며, “이제는 이 가이드라인을 토대로 국내에 많은 대기업과 중소기업이 효과적으로 적용 및 실천하는 것이 중요한 때라고 생각하고 저도 힘을 다해 돕겠다”고 말했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 엔토스정보통신

    • 비전정보통신

    • 경인씨엔에스

    • (주)우경정보기술

    • 투윈스컴

    • 디비시스

    • 다후아테크놀로지코리아

    • 트루엔

    • 동양유니텍

    • 세연테크

    • 위트콘

    • 이오씨

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 포엠아이텍

    • 티에스아이솔루션

    • 넥스트림

    • 안랩

    • 데이티스바넷

    • 시큐어링크

    • 지란지교데이터

    • 삼오씨엔에스

    • 위즈코리아

    • 피앤피시큐어

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 앤디코

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 유투에스알

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 미래시그널

    • 두레옵트로닉스

    • 엘림광통신

    • 에스에스티랩

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 보문테크닉스

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 신화시스템

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기