산·학·연과 ‘소프트웨어 공급망 보안 가이드라인(안내서) 1.0’ 확산방안 논의
보안 전문인력, 중소기업 지원방안, SBOM·SW 개발 환경 보안점검 목록 활용방안 등
[보안뉴스 김경애 기자] ‘소프트웨어 공급망 보안 가이드라인(안내서) 1.0’의 확산방안을 논의하는 자리가 마련돼 이목이 집중되고 있다. 특히 이날 회의에서는 △보안 전문인력 △초기 투자 비용이 부족한 중소기업 등에 대한 지원방안 △SBOM 및 SW 개발 환경 보안점검 목록의 활용 방안 등에 대한 상세 정보를 공유하고, 향후 발전방향이 논의됐다.
▲‘SW 공급망 보안 가이드라인’ 인쇄본(전체본, 요약본)
과학기술정보통신부(장관 이종호, 이하 과기정통부)는 한국인터넷진흥원(원장 이상중, 이하 KISA), 정보통신산업진흥원(원장 허성욱, 이하 NIPA) 등과 함께 29일 KISA 서울청사에서 2024년도 제1차 SW 공급망 보안 포럼을 개최하고, 지난 5월13일에 공개한 ‘SW 공급망 보안 가이드라인(안내서) 1.0 (이하 ‘가이드라인’)’의 체계적인 확산방안을 논의했다고 밝혔다.
과기정통부 관계자는 “그동안 포럼을 중심으로 미국, 유럽 등 주요국의 SW 구성요소 명세서(SBOM, SW Bill of Materials) 도입을 위한 제도화 동향을 공유하고, 국내 정부·공공기관 및 기업 등의 현장에 적용하기 위한 체계적인 방안을 마련하기 위해 노력해 왔다”며 “올해 처음 개최되는 포럼은 산·학·연·관 전문가를 중심으로 가이드라인의 주요 내용을 공유하고, 향후 정부·공공 및 기업 등 다양한 환경에 효과적으로 확산시키기 위한 방안을 논의하기 위해 개최됐다”고 밝혔다.
가이드라인 집필에 직접 참여한 고려대학교 최윤성 교수, 한남대학교 이만희 교수, KAIST 강병훈 교수가 가이드라인 주요 내용 소개에 참여해 ‘SBOM 기반 SW 공급망 보안 관리체계’, ‘국내 SBOM 실증 결과’와 ‘SBOM의 안전한 활용방안’ 등을 공유했다.
이날 포럼 참석자들은 가이드라인의 주요 내용에 공감하면서 보안 전문인력, 초기 투자 비용이 부족한 중소기업 등에 대한 지원방안, SBOM 및 SW 개발 환경 보안점검 목록의 활용 방안 등에 대한 상세 정보를 공유하고, 향후 발전방향을 논의했다.
과기정통부 관계자는 “SW 개발기업이 협력센터, 협력기업을 통해 별도의 보안 전문인력이나 시설 구축하지 않아도 SW 보안체계를 지원하는 방향으로 논의됐다”며 “기존의 중소기업이나 SW 기업들은 개발 전문인력 확보에 집중돼 있다 보니 상대적으로 보안 전문인력이 부족한 상황으로 2~3개 비즈니스 기업들이 협력체계를 구축하면, 그중 대표 1개 기업이 SBOM 기반의 보안 취약점 분석도구 툴을 이용해 보안 취약점을 찾아 정보 공유 및 개선을 요구하는 방향으로 활성화될 수 있다”고 밝혔다.
이를테면 판교허브지원센터의 IoT 보안 테스트베드 시설의 SBOM 생성도구를 이용하면 보안 취약점을 분석할 수 있다. 이는 SW 특성상 분업화돼 있다 보니 협력체계, 거점기업 중심으로 SBOM 기반의 공급망 체계를 운영한다면 별도의 구축비용을 들이지 않고 효율적으로 확산할 수 있다는 얘기다.
과기정통부 정창림 정보보보호네트워크정책관은 “SBOM 기반 SW 공급망 보안을 통해 국산 SW의 품질을 개선하고, 공급망 전체의 투명성을 높여 국내 기업의 경쟁력을 확보할 수 있다”고 강조하면서 “기업들이 큰 부담 없이 SW 기획, 개발 단계에서부터 SW 공급망 보안이 적용될 수 있도록 현장 수요 맞춤형 지원에 노력을 아끼지 않겠다”고 말했다.
한편 2020년 이후 증가하고 있는 소프트웨어(SW) 개발-유통-운영 등 SW 공급망에 대한 사이버위협에 체계적으로 대응하기 위해 과기정통부와 KISA는 2022년 10월 ‘SW 공급망 보안 포럼’을 발족했다.
현재 정부는 ‘SW 공급망 보안 가이드라인 1.0’ 인쇄본 파일을 과기정통부, 국가정보원, 디지털플랫폼정부위원회 등 정부기관과 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA) 등 공공기관 및 한국정보보호산업협회(KISIA), 한국소프트웨어산업협회(KOSA) 등 협단체 누리집을 통해서 자유롭게 내려받을 수 있도록 지원하고 있다.
[김경애 기자(boan3@boannews.com)]
보안 전문인력, 중소기업 지원방안, SBOM·SW 개발 환경 보안점검 목록 활용방안 등
[보안뉴스 김경애 기자] ‘소프트웨어 공급망 보안 가이드라인(안내서) 1.0’의 확산방안을 논의하는 자리가 마련돼 이목이 집중되고 있다. 특히 이날 회의에서는 △보안 전문인력 △초기 투자 비용이 부족한 중소기업 등에 대한 지원방안 △SBOM 및 SW 개발 환경 보안점검 목록의 활용 방안 등에 대한 상세 정보를 공유하고, 향후 발전방향이 논의됐다.
▲‘SW 공급망 보안 가이드라인’ 인쇄본(전체본, 요약본)
과학기술정보통신부(장관 이종호, 이하 과기정통부)는 한국인터넷진흥원(원장 이상중, 이하 KISA), 정보통신산업진흥원(원장 허성욱, 이하 NIPA) 등과 함께 29일 KISA 서울청사에서 2024년도 제1차 SW 공급망 보안 포럼을 개최하고, 지난 5월13일에 공개한 ‘SW 공급망 보안 가이드라인(안내서) 1.0 (이하 ‘가이드라인’)’의 체계적인 확산방안을 논의했다고 밝혔다.
과기정통부 관계자는 “그동안 포럼을 중심으로 미국, 유럽 등 주요국의 SW 구성요소 명세서(SBOM, SW Bill of Materials) 도입을 위한 제도화 동향을 공유하고, 국내 정부·공공기관 및 기업 등의 현장에 적용하기 위한 체계적인 방안을 마련하기 위해 노력해 왔다”며 “올해 처음 개최되는 포럼은 산·학·연·관 전문가를 중심으로 가이드라인의 주요 내용을 공유하고, 향후 정부·공공 및 기업 등 다양한 환경에 효과적으로 확산시키기 위한 방안을 논의하기 위해 개최됐다”고 밝혔다.
가이드라인 집필에 직접 참여한 고려대학교 최윤성 교수, 한남대학교 이만희 교수, KAIST 강병훈 교수가 가이드라인 주요 내용 소개에 참여해 ‘SBOM 기반 SW 공급망 보안 관리체계’, ‘국내 SBOM 실증 결과’와 ‘SBOM의 안전한 활용방안’ 등을 공유했다.
이날 포럼 참석자들은 가이드라인의 주요 내용에 공감하면서 보안 전문인력, 초기 투자 비용이 부족한 중소기업 등에 대한 지원방안, SBOM 및 SW 개발 환경 보안점검 목록의 활용 방안 등에 대한 상세 정보를 공유하고, 향후 발전방향을 논의했다.
과기정통부 관계자는 “SW 개발기업이 협력센터, 협력기업을 통해 별도의 보안 전문인력이나 시설 구축하지 않아도 SW 보안체계를 지원하는 방향으로 논의됐다”며 “기존의 중소기업이나 SW 기업들은 개발 전문인력 확보에 집중돼 있다 보니 상대적으로 보안 전문인력이 부족한 상황으로 2~3개 비즈니스 기업들이 협력체계를 구축하면, 그중 대표 1개 기업이 SBOM 기반의 보안 취약점 분석도구 툴을 이용해 보안 취약점을 찾아 정보 공유 및 개선을 요구하는 방향으로 활성화될 수 있다”고 밝혔다.
이를테면 판교허브지원센터의 IoT 보안 테스트베드 시설의 SBOM 생성도구를 이용하면 보안 취약점을 분석할 수 있다. 이는 SW 특성상 분업화돼 있다 보니 협력체계, 거점기업 중심으로 SBOM 기반의 공급망 체계를 운영한다면 별도의 구축비용을 들이지 않고 효율적으로 확산할 수 있다는 얘기다.
과기정통부 정창림 정보보보호네트워크정책관은 “SBOM 기반 SW 공급망 보안을 통해 국산 SW의 품질을 개선하고, 공급망 전체의 투명성을 높여 국내 기업의 경쟁력을 확보할 수 있다”고 강조하면서 “기업들이 큰 부담 없이 SW 기획, 개발 단계에서부터 SW 공급망 보안이 적용될 수 있도록 현장 수요 맞춤형 지원에 노력을 아끼지 않겠다”고 말했다.
한편 2020년 이후 증가하고 있는 소프트웨어(SW) 개발-유통-운영 등 SW 공급망에 대한 사이버위협에 체계적으로 대응하기 위해 과기정통부와 KISA는 2022년 10월 ‘SW 공급망 보안 포럼’을 발족했다.
현재 정부는 ‘SW 공급망 보안 가이드라인 1.0’ 인쇄본 파일을 과기정통부, 국가정보원, 디지털플랫폼정부위원회 등 정부기관과 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA) 등 공공기관 및 한국정보보호산업협회(KISIA), 한국소프트웨어산업협회(KOSA) 등 협단체 누리집을 통해서 자유롭게 내려받을 수 있도록 지원하고 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
