'SW 공급망 보안' 민관 협력…정부 가이드라인 제시

자료=디지털플랫폼정부위원회

정부가 민관 협력으로 소프트웨어(SW) 분야 공급망 보안 강화에 나선다.

디지털플랫폼정부위원회는 18일 과학기술정보통신부, 한국인터넷진흥원(KISA), 국가정보원과 함께 'SW 공급망 보안 가이드라인'의 주요 내용을 공유하는 간담회를 개최했다고 밝혔다.

모든 디지털 제품과 서비스가 네트워크로 연결되면서, SW 보안 취약점을 악용하거나 SW 공급망에 침투해 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 고조되고 있다.

미국 및 유럽 등 주요국에서는 SW 자재 명세서(SBOM) 기반 SW 공급망 보안의 제도화를 추진 중인 상황이다.

SW 공급망 보안 가이드라인은 국내 정부·공공 기관 및 민간 기업의 의사결정자 및 실무자들도 SW 공급망 보안의 개념을 쉽게 이해하고, 활용할 수 있도록 지원하기 위해 마련됐다.

정부는 가이드라인을 통해 SW 공급망 공격에 대응해 공급망의 투명성을 확보, SW 품질을 높이고 해외 무역장벽도 극복할 수 있도록 지원할 방침이다.

가이드라인은 총 4개장 구성이다.

대통령 직속 디지털플랫폼정부위원회의 공급망 보안 정책방향, 국내 전문가들의 연구결과, 국산 SW에 대한 SBOM 실증 및 SW 공급망보안포럼 논의 결과, SW 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과를 담고 있다.

제1장에서는 주요국의 SW 공급망 보안 제도화 추진현황 분석을 통해 우리나라도 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련·확산할 필요가 있다는 시사점을 도출했다.

자료=디지털플랫폼정부위원회

제2장은 국내 SW 공급망 보안 전문가들의 연구결과를 반영한 것으로 안전한 SW 개발·운영을 위해 지켜야 할 개발(공급)사 및 SW 고객(운영)사의 역할을 규정한다. SW 공급망 참여자들의 사이버보안 및 활동 권고와 함께 안전한 SW 개발체계(SSDF) 활용방안을 제시했다.

제3장은 과기정통부·KISA가 국내 사이버보안 전문기업들과 함께 국산 SW를 대상으로 SBOM을 생성하고, 보안 취약점을 탐지·조치하는 일련의 과정을 알기 쉽게 제시한다. 실무자들이 쉽게 활용할 수 있는 공급망 각 단계별 이용자 보안 점검항목 30개도 담겼다.

제4장은 국내 정부·공공 기관 및 민간 기업 등의 SBOM 기반 SW 공급망 보안 도입 지원을 위한 정부 지원상황을 소개하고 있다.

정부는 SW 공급망 보안 가이드라인을 KISA, NIPA 및 한국소프트웨어산업협회(KOSA), 한국정보보호산업협회(KISIA) 등 유관 단체를 통해 정부·공공기관 및 민간 기업들이 활용할 수 있도록 널리 확산할 계획이다.

아울러 국내 중소기업들이 SBOM 기반의 SW 공급망 보안 관리체계를 구축하고 자발적인 품질관리 활동을 통해 국산 SW의 품질을 높이고, 해외 무역장벽을 극복할 수 있는 자체 역량을 키워나갈 수 있도록 체계적으로 지원해나갈 계획이다.

강도현 과기정통부 2차관은 "SW 공급망 보안 가이드라인이 기업활동을 저해하는 규제가 아니라 기업 자체적인 보안활동을 강화함으로써 국산 SW의 품질을 높이고, 국제적인 경쟁력을 확보해나갈 수 있는 기반이 될 수 있도록 중소기업 지원에 노력을 아끼지 않겠다"고 강조했다.

이용석 디플정위 추진단장은 "안전하고 신뢰할 수 있는 디지털플랫폼정부 구현을 위해 시스템 구축 시 SBOM을 시범적으로 활용해 모범사례를 만들고, 나아가 안전한 SW 생태계가 공공부문에 안착될 수 있도록 노력하겠다"고 말했다.