‘소프트웨어 구성 명세서’(SBOM) 모델 구축에 40억 투입... 개발사 넘어 수요처까지 확대
거버넌스 수립 및 실시간 모니터링 체계 구축 지원, ‘리액트’ 취약점 대응 속도 70% 이상 단축
[보안뉴스 조재호 기자] 미국 행정명령과 유럽 사이버복원력법(CRA, Cyber Resilience Act) 등 글로벌 공급망 보안 규제가 강화되면서, 우리 기업 수출 전선에 ‘소프트웨어 구성 명세서’(SBOM, Software Bill of Materials)가 선택이 아닌 필수 생존 전략으로 부상했다. 이러한 흐름에 발맞춰 한국인터넷진흥원(KISA)이 국내 기업들이 자생적 공급망 보안 역량을 갖출 수 있도록 전방위 지원 사격에 나선다.
이동화 KISA AX공급망보안정책팀장은 “공급망 보안은 단순히 소프트웨어를 안전하게 만드는 기술적 문제를 넘어, 기업 생태계 전체의 생존과 직결된 사안”이라며 “취약점이 발생했을 때 얼마나 신속하고 정확하게 대응할 수 있느냐가 미래 비즈니스의 핵심 지표가 될 것”이라고 말했다.
▲SW 공급망 보안 모델 구축 지원 사업 개요 [출처: KISA]
거버넌스 수립부터 실시간 대응까지... 기술적 뎁스 강화한 투트랙 지원
KISA는 올해 총 40억원의 예산을 투입해 ‘소프트웨어 공급망 보안 모델 구축’ 사업을 전개한다. 올해는 사업의 전문성을 높이기 위해 지원 체계를 이원화했다. SBOM 생성과 검증 프로세스 및 거버넌스 수립에 집중하는 ‘공급망 보안 관리체계 구축’(6개 과제)과 이미 구축된 환경에서 실시간 위협을 추적하고 조치하는 ‘공급망 위협 모니터링 및 대응체계’(2개 과제)로 나누어 기업별 맞춤형 기술지원을 제공한다.
또 지난해까지 소프트웨어 개발 및 공급 기업 위주로 진행됐던 사업 범위를 올해는 실제 제품을 도입해 운영하는 기업까지 확대했다. 이는 소프트웨어의 제작부터 소비에 이르는 생명주기 전반의 보안 가시성을 확보하려는 조치다. 도입·운영 기업이 포함된 컨소시엄엔 최대 5억 원의 정부 지원금을 배정했다.
위협 대응 속도의 혁명... “7일 걸리던 식별, SBOM으로 2일이면 충분”
이 팀장은 “신규 취약점이 터졌을 때 수동으로 소스코드를 뒤지는 것은 지도 없이 미로를 찾는 것과 같다”며, “디지털 지도인 SBOM을 활용하면 즉각 위협 지점을 특정하고 격리할 수 있어 비즈니스 연속성을 비약적으로 높일 수 있다”고 말했다.
실제로 지난해 말 오픈소스 ‘리액트’(React) 취약점 사태 당시, SBOM 관리 체계를 선제적으로 구축했던 기업들은 자사 서비스 내 해당 라이브러리 포함 여부를 단 2일 만에 파악하고 조치를 완료했다. 일반적으로 기업들이 소스코드를 전수 조사하는 데 평균 7일 이상 소요되던 것과 비교해 대응 기간을 70% 이상 단축한 결과다.
▲ 이동화 KISA AX공급망보안정책팀장 [출처: KISA]
중소 SW 기업 ‘상시 기술 지원’ 병행... AI 및 하드웨어 영역 확장 로드맵
대규모 정부 사업 참여가 어려운 영세 및 중소 소프트웨어 기업들을 위한 별도 지원책도 마련됐다. KISA는 판교 소재 ‘사이버 회복력 센터’를 통해 상시적인 소스코드 보안성 진단과 SBOM 생성 기술지원을 병행한다. 인력난으로 공급망 보안 체계 구축에 어려움을 겪는 기업들이 센터를 찾으면 전문가 밀착 컨설팅을 통해 즉각 도움을 받도록 해 사각지대를 최소화한다는 방침이다.
이동화 팀장은 “향후 소프트웨어 영역을 넘어 하드웨어 명세서인 ‘H-BOM’과 인공지능 명세서 ‘AI-BOM’까지 대상을 점진적으로 확대할 계획”이라며 “국내 기업들이 글로벌 보안 규제를 단순한 규제가 아닌, 글로벌 시장에서 신뢰를 얻는 기회로 삼을 수 있도록 표준 생태계 확립에 주력하겠다”고 말했다.
[조재호 기자(zephyr@boannews.com)]
거버넌스 수립 및 실시간 모니터링 체계 구축 지원, ‘리액트’ 취약점 대응 속도 70% 이상 단축
[보안뉴스 조재호 기자] 미국 행정명령과 유럽 사이버복원력법(CRA, Cyber Resilience Act) 등 글로벌 공급망 보안 규제가 강화되면서, 우리 기업 수출 전선에 ‘소프트웨어 구성 명세서’(SBOM, Software Bill of Materials)가 선택이 아닌 필수 생존 전략으로 부상했다. 이러한 흐름에 발맞춰 한국인터넷진흥원(KISA)이 국내 기업들이 자생적 공급망 보안 역량을 갖출 수 있도록 전방위 지원 사격에 나선다.
이동화 KISA AX공급망보안정책팀장은 “공급망 보안은 단순히 소프트웨어를 안전하게 만드는 기술적 문제를 넘어, 기업 생태계 전체의 생존과 직결된 사안”이라며 “취약점이 발생했을 때 얼마나 신속하고 정확하게 대응할 수 있느냐가 미래 비즈니스의 핵심 지표가 될 것”이라고 말했다.
▲SW 공급망 보안 모델 구축 지원 사업 개요 [출처: KISA]
거버넌스 수립부터 실시간 대응까지... 기술적 뎁스 강화한 투트랙 지원
KISA는 올해 총 40억원의 예산을 투입해 ‘소프트웨어 공급망 보안 모델 구축’ 사업을 전개한다. 올해는 사업의 전문성을 높이기 위해 지원 체계를 이원화했다. SBOM 생성과 검증 프로세스 및 거버넌스 수립에 집중하는 ‘공급망 보안 관리체계 구축’(6개 과제)과 이미 구축된 환경에서 실시간 위협을 추적하고 조치하는 ‘공급망 위협 모니터링 및 대응체계’(2개 과제)로 나누어 기업별 맞춤형 기술지원을 제공한다.
또 지난해까지 소프트웨어 개발 및 공급 기업 위주로 진행됐던 사업 범위를 올해는 실제 제품을 도입해 운영하는 기업까지 확대했다. 이는 소프트웨어의 제작부터 소비에 이르는 생명주기 전반의 보안 가시성을 확보하려는 조치다. 도입·운영 기업이 포함된 컨소시엄엔 최대 5억 원의 정부 지원금을 배정했다.
위협 대응 속도의 혁명... “7일 걸리던 식별, SBOM으로 2일이면 충분”
이 팀장은 “신규 취약점이 터졌을 때 수동으로 소스코드를 뒤지는 것은 지도 없이 미로를 찾는 것과 같다”며, “디지털 지도인 SBOM을 활용하면 즉각 위협 지점을 특정하고 격리할 수 있어 비즈니스 연속성을 비약적으로 높일 수 있다”고 말했다.
실제로 지난해 말 오픈소스 ‘리액트’(React) 취약점 사태 당시, SBOM 관리 체계를 선제적으로 구축했던 기업들은 자사 서비스 내 해당 라이브러리 포함 여부를 단 2일 만에 파악하고 조치를 완료했다. 일반적으로 기업들이 소스코드를 전수 조사하는 데 평균 7일 이상 소요되던 것과 비교해 대응 기간을 70% 이상 단축한 결과다.
▲ 이동화 KISA AX공급망보안정책팀장 [출처: KISA]
중소 SW 기업 ‘상시 기술 지원’ 병행... AI 및 하드웨어 영역 확장 로드맵
대규모 정부 사업 참여가 어려운 영세 및 중소 소프트웨어 기업들을 위한 별도 지원책도 마련됐다. KISA는 판교 소재 ‘사이버 회복력 센터’를 통해 상시적인 소스코드 보안성 진단과 SBOM 생성 기술지원을 병행한다. 인력난으로 공급망 보안 체계 구축에 어려움을 겪는 기업들이 센터를 찾으면 전문가 밀착 컨설팅을 통해 즉각 도움을 받도록 해 사각지대를 최소화한다는 방침이다.
이동화 팀장은 “향후 소프트웨어 영역을 넘어 하드웨어 명세서인 ‘H-BOM’과 인공지능 명세서 ‘AI-BOM’까지 대상을 점진적으로 확대할 계획”이라며 “국내 기업들이 글로벌 보안 규제를 단순한 규제가 아닌, 글로벌 시장에서 신뢰를 얻는 기회로 삼을 수 있도록 표준 생태계 확립에 주력하겠다”고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
_m.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
