국내 최초 시범 적용... 공급망 보안 모델 및 주요성과 발굴

[보안뉴스 한세희 기자] 에이아이스페라는 소프트웨어 구성 요소를 파악하는 도구를 활용해 공급망 보안 모델과 모니터링 시스템을 구축했다. 소만사와 휴네시온은 소프트웨어를 구성하는 모든 요소들을 파악해 표시한 소프트웨어 자재명세서(SBOM)를 안전하게 공유하는 모델을 만들었다.

지난해 정부가 40억원의 예산을 들여 실시한 소프트웨어 공급망 보안 구축 지원사업 주요 성과들이다.


[출처: gettyimagesbank]

과학기술정보통신부(부총리 겸 장관 배경훈)은 한국인터넷진흥원(KISA, 원장 이상중)과 함께 지난해 ‘SBOM 기반 SW 공급망 보안 관리체계 구축 지원사업’으로 도출된 보안 모델을 소개하는 사례집을 발간했다고 16일 밝혔다.

이 사업은 산업계가 공급망 위협에 효과적으로 대응할 수 있도록 지원하기 위한 것이다. SW 개발 과정에서 오픈소스, 외부 라이브러리 등 다양한 구성요소의 활용이 늘어나 SW 공급망은 점차 복잡해지고 있고, 이를 악용한 공급망 공격 역시 증가하는 추세이기 때문이다. SW 공급망 공격은 한 번의 공격으로 다수 기업과 개인에게 큰 영향을 미칠 수 있어 기존 공격보다 위험성이 크다.

지난해 8개 기업에 대해 처음 사업을 진행, 실제 기업 환경에서 SBOM을 활용해 공급망 보안 관리체계를 구축하고 보안 취약점까지 자체적으로 조치할 수 있게 하는 다양한 공급망 보안 모델을 마련하는 등 성과를 거뒀다.

의료, 교통, 보안, 금융 등 다양한 산업군에서 외부 소스코드 최초 도입부터 배포 후 모니터링까지 SBOM으로 관리하는 공급망 보안 공통 모델을 발굴했다. 미국과 유럽연합(EU)의 SBOM 및 공급망 보안 체계 구축 요구 등 글로벌 규제에 대응하도록 지원했다.

또 SBOM을 안전하게 공유하고 수신할 수 있는 SBOM 공유 모델을 구축했다. 시범사업으로 구축한 공급망 보안 공통 모델을 고도화해 기업 안면인증 SW, 문서관리 SW 등 기업 SW에 맞게 적용한 공급망 보안 내재화 사례도 발굴했다.


▲공급망 보안 모델 구축 사례 [출처: 과기정통부]

이 사업을 통해 취약점을 발굴하고 조치한 후 해외 기업과 납품계약을 체결한 사례도 나왔다.

이 사업을 진행하면서 글로벌 규제에 대응하거나 공급망 보안 체계를 자체 구축하려는 기업이 참고할 수 있는 공급망 보안 자가진단 체크리스트를 개발했다. SBOM을 추출하거나 관리할 때 공급망 위험 관리 관점에서 쉽게 실무에 적용하도록 SBOM 항목 구성 및 활용 방안도 정리했다.

사례집은 한국인터넷진흥원 홈페이지에서 확인할 수 있다.

임정규 과기정통부 정보보호네트워크정책관은 “SW·보안 기업이 공급망 보안 관리체계를 구축할 때 좋은 참고서가 될 것으로 기대한다”며 “정부는 SW 공급망 보안 강화를 지원해 사이버 복원력 확보를 위한 전반적 보안 강화에 힘쓰겠다”고 말했다.

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>