과기정통부, 복잡한 공급망 보안 구축 사례집발간
"복잡한 공급망 보안체계 구축, 사례집을 활용하세요." 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA, 원장 이상중)이 SBOM 기반 SW 공급망 보안 관리체계 구축 지원사업(40억)으로 도출된 보안 모델 사례집을 발간했다. SBOM(Software Bill of Material, S봄으로 발음)은 SW를 구성하는 전체 컴포넌트들의 구성요소와 의존관계를 기술한 것으로, 일종의 자재명세서 같은 것이다. 소프트웨어(SW)는 최근 디지털 기술 일상화로 수요가 확대되고 있고, 다양한 산업과 융합하며 사회 전반의 핵심인프라로 자리잡았다. SW 개발과정에서 오픈소스, 외부 라이브러리 등 다양한 구성요소의 활용이 증가하면서 SW 공급망은 점차 확대 및 복잡화하고 있다. 이를 악용한 공급망 공격 역시 증가하는 추세다. 특히 SW 공급망 공격은 한 번의 공격으로 다수의 기업과 개인에게 큰 영향을 미칠 수 있어 기존 공격에 비해 위험성이 더 크다. 이런 특징을 갖는 공급망 위협에 산업계의 효과적 대응을 위해 과기정통부와 KISA는 작년에 처음으로 'SBOM 기반 SW 공급망 보안 관리체계 구축 지원 사업'을 시행, 8개 기업이 참여, 실제 기업 환경에서 SBOM을 활용해 공급망 보안 관리체계를 구축하고 보안 취약점까지 기업 자체적으로 조치할 수 있게 하는 다양한 공급망 보안 모델과 주요성과를 마련했다. 이 사업을 통해 의료, 교통, 보안, 금융 등 다양한 산업군에서 외부 소스코드 최초 도입부터 배포 후 모니터링까지 SBOM을 활용해 관리하는 공급망 보안 공통 모델을 발굴했다. 美·EU등의 SBOM 및 공급망 보안 체계 구축 요구 등 글로벌 규제 대응 사례(에스트래픽, 에이아이트릭스, 한드림넷) 와 기업의 SW 자산의 일종으로 볼 수 있는 SBOM을 안전하게 공유하고 수신할 수 있는 SBOM 공유 모델(휴네시온, 소만사), 시범사업으로 구축한 공급망 보안 공통 모델을 고도화해 기업 안면인증 SW, 문서관리 SW 등 기업별 SW에 맞게 적용한 공급망 보안 내재화 사례(에이아이스페라, 인젠트, 알체라)를 각각 발굴했다. 특히, 이번 지원사업은 단순히 재정적 지원에 그치지 않고 美·EU 등 주요국의 보안 요구사항 충족, 보안 취약점 조치 등을 위한 기술 지원까지 함께 제공, SW 공급망 보안에 대한 기업들의 부담과 어려움을 최소화했다. 실제 이들 사업을 통해 취약점을 발굴하고 조치한 후 해외 기업과 납품계약을 채결한 사례가 존재할 만큼 처음 수행한 사업임에도 많은 성과를 거뒀다고 과기정통부는 설명했다. 또 이 사업을 진행하면서 글로벌 규제에 대응하거나 공급망 보안 체계를 자체적으로 구축하려는기업이 참고할 수 있는 공급망 보안 자가진단 체크리스트도 개발했고, SBOM 추출·관리 시 공급망 위험 관리 관점에서 실무 적용을 용이하게 하기 위해 SBOM 항목 구성 및 활용방안도 정리했다. 과기정통부는 공급망 보안 모델 및 주요성과를 사례집 형태로 정리했고, 이 사례집을 통해 기업이 자체적으로 혹은 과기정통부의 사업을 통해 공급망 보안 관리체계를 구축할 때 활용할 수 있게 했다. 사례집은 16일 코엑스에서 열린 '정보통신망 정보보호 컨퍼런스'에서 발표됐다. 한국인터넷진흥원 누리집에서도 상세 내용을 확인할 수 있다. 과기정통부 임정규 정보보호네트워크정책관은 “SW·보안 기업이 공급망 보안 관리체계를 구축할 때 좋은 참고서가 될 것으로 기대한다”면서 “정부는 앞으로도 SW 공급망 보안 강화를 지원함으로써 사이버 복원력 확보를 위한 전반적 보안 강화에 힘쓰겠다”고 말했다.
