과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회와 한국인터넷진흥원(KISA)은 18일 서울 광화문에서 간담회를 열어 '소프트웨어(SW) 공급망 보안 가이드라인'의 주요 내용을 공유하고 확산 방안을 논의했다.
모든 디지털 제품과 서비스가 네트워크로 연결되면서 SW 보안 취약점을 악용하거나 공급망에 침투해 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 커짐에 따라 정부는 범부처 협력을 통해 보안 가이드라인 제정을 추진 중이다.
가이드라인은 ▲디플정위의 공급망 보안 정책방향 ▲국내 전문가들의 연구 결과 ▲국산 SW에 대한 '소프트웨어 구성 명세서'(SBOM) 실증 및 SW 공급망보안포럼 논의 결과 ▲SW 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과 등 4개 장으로 구성된다.
미국과 유럽 등 주요국에서 SBOM 기반의 SW 공급망 보안 제도화를 추진하고 있다는 점에서 한국도 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련해 확산할 필요가 있다고 명시할 예정이다. 이를 위해 SBOM 국제 표준을 소개하고, 공공기관과 민간 기업이 활용할 수 있는 'SW 개발 생명주기에 따른 SBOM 관리방안'과 국가적 차원의 'SW 공급망 보안 관리체계' 등을 가이드라인에서 제시한다.
정부는 이러한 내용의 SW 공급망 보안 가이드라인을 KISA, 정보통신산업진흥원(NIPA), 한국소프트웨어산업협회(KOSA), 한국정보보호산업협회(KISIA) 등 유관 단체를 통해 확산하고, 국내 중소기업들이 SBOM 기반의 SW 공급망 보안 관리체계를 구축할 수 있도록 체계적으로 지원할 계획이다.
이날 간담회에서 과기정통부 강도현 2차관은 "가이드라인이 기업 활동을 저해하는 규제가 아니라 국산 SW의 품질을 높이고 국제 경쟁력을 확보해나갈 수 있는 기반이 될 수 있도록 중소기업 지원에 노력을 아끼지 않겠다"고 말했다.
국정원 윤오준 3차장은 "최근 북한의 고도화된 해킹조직에 의한 국가·공공기관 대상 공급망 위협이 심화하고 있다"며 "산업계 부담을 줄이면서도 사이버 안보를 강화할 수 있는 공급망 보안 대책을 마련하겠다"고 밝혔다.
헬로티 이창현 기자 |
