 |
ⓒ게티이미지뱅크 |
미국·유럽연합(EU) 등 주요국의 소프트웨어(SW) 공급망 보안 강화 정책이 우리 SW 개발사에 수출장벽으로 작용할 수 있다는 우려가 커진다.
한국인터넷진흥원(KISA)은 우리 SW 개발사를 대상으로 공급망 보안 점검을 실시하는 한편 SW자재명세서(SBOM) 기반 공급망 보안 구축 지원사업을 벌이는 등 대응을 강화한다.
KISA는 4월부터 SW 개발기업 공급망 보안 점검과 기술지원 사업의 신청접수를 개시한다.
실제 북한 해킹그룹 라자루스는 지난 2022년 국내 금융SW의 취약점을 악용해 국가·공공기관 등 61곳을 공격했다. 지난해 7월 전 세계를 덮친 일명 '죽음의 블루스크린' 사태는 크라우드스트라이크의 보안 SW 업데이트 과정에서 발생한 오류가 원인이 됐다.
이에 따라 미국·EU 등 주요국을 중심으로 SBOM 제출·관리를 의무화하는 등 SW 공급망 보안 강화에 나섰다. 문제는 글로벌 SW공급망 보안 강화가 우리 기업의 수출장벽이 될 수 있다는 점이다.
이동화 한국인터넷진흥원 공급망안전정책팀장은 오는 2027년부터 중국·러시아산 SW·하드웨어 탑재를 규제하는 커넥티드카 관련 행정명령 등을 거론하면서 “SW공급망 정책은 보안 강화를 중요시하고 있지만 수출 장벽과 같은 규제 요소도 함께 들어가 있다”고 지적했다.
이에 KISA는 SW 개발기업을 위한 공급망 보안 점검과 기술 지원을 실시한다. 먼저 공급망 보안 점검은 소스코드와 개발환경을 보유한 SW 개발·공급사가 대상이며, SW 개발 전 주기에 걸쳐 보안 위협요소를 찾아 보안 대책을 마련할 수 있도록 돕는다. 점검내용에 관계없이 전액 무료 지원한다.
구체적으로 SW 자체 보안성 진단을 통해 소스코드 상 존재하는 보안 위협을 식별·제거하고 SW 보안약점 관리방안을 수립할 수 있도록 지원한다. 또 SW 실행 환경에서 발생하는 보안취약점을 탐지하고 대응방안을 마련하는 모의해킹도 수행한다.
SW 보안 체계 진단은 SBOM 분석, SBOM 기반 보안 위협 관리 방안, 기업 유·무형 인프라 보안 등을 컨설팅하는 게 골자다.
이동화 팀장은 “개발사가 SBOM을 직접 생성하고 KISA가 보유한 위협정보 데이터베이스(DB)와 연결해 제품의 취약점을 확인할 수 있다”며 “기업이 판교 기업지원허브에 내방하거나 KISA가 직접 신청 기업에 방문하는 등 두 가지 방식으로 사업을 추진하고 있다”고 설명했다.
아울러 올해 SBOM 기반 SW 공급망 보안 구축 지원사업도 실시한다. 글로벌 규제 대응 분야 6개 과제와 공급망 위협 대응 분야 2개 과제 등 총 8개 과제를 선정해, 과제당 최대 3억7500만원을 지원한다. 내달 21일까지 공모 접수를 진행한다.
지난해 KISA는 SBOM 실증 사업을 통해 가시적인 성과를 낸 바 있다. 소스코드·완제품·설치환경 등에서 SBOM을 생성해 분석한 결과, 한 보안기업은 취약점이 89.6% 감소했으며 또 다른 의료기업은 80% 줄었다.
이 팀장은 “수출 제품이 아니더라도 공격 시 피해가 큰 대국민 서비스의 공급망 보안 강화가 중요하다”면서 “정책적으로 시급한 분야를 연구해 연관 사업을 추진하겠다”고 말했다.
 |
이동화 한국인터넷진흥원 공급망안전정책팀장.(한국인터넷진흥원 제공) |
조재학 기자 2jh@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
