美 국방부, '보안 최우선' SW 조달 체계 전면 개편…국내도 검토 시급
미국 국방부(DoD)가 사이버 공격과 소프트웨어(SW) 공급망 위협의 증가에 대응해 소프트웨어 조달 시스템을 전면 개편한다. 이번 개편은 보안을 최우선 원칙으로 내세우는 것이 특징이며, 국내 주요 조직들도 이와 같은 방향성을 검토해야 한다는 필요성이 제기되고 있다. 지난 10일 DoD 케이티 아링턴 최고정보책임자(CIO)은 국방부 전역에 발송된 공식 메모를 통해 새로운 조달 정책 이니셔티브인 'SW패스트트랙(SWFT)'을 수립할 것이라고 밝혔다. SWFT 이니셔티브는 국방부가 운용하는 모든 소프트웨어에 대해 획득부터 테스트, 승인까지의 전 과정을 전면 재설계하고 그 과정 전반에 '보안을 기본값으로 내재화'하는 것을 목표로 한다. 아링턴 CIO는 해당 메모에서 "국방부의 사이버보안 및 공급망 위험관리(SCRM) 관행은 소프트웨어 개발과 공급망 리스크가 점점 더 정교해지고 복잡해지는 현실에 맞춰 지속적으로 적응하고 진화해야 한다"고 강조했다. 이번 SWFT 계획은 기존 소프트웨어 조달 방식이 보안 위험의 사각지대를 만들어왔다는 문제의식에서 출발한다. 메모에 따르면, DoD는 SW 코드 구성요소의 출처, 포함된 오픈소스 및 외부 라이브러리 목록, 패치 이력 및 취약점 관리 상태 등을 투명하게 식별할 수 있는 체계를 갖출 계획이다. 이와 관련해 DoD는 오픈소스SW(OSS)의 사용 자체를 제한하거나 배제하지는 않지만 OSS를 포함한 모든 구성요소의 출처, 유지 주체, 보안 대응 체계 등을 명확히 문서화할 것을 요구하고 있다. 오픈소스를 사용할 경우 해당 코드가 어디에서 유래했고 어떤 보안 리스크를 동반하며 어떻게 유지·관리되는지를 입증할 수 있어야 한다는 원칙이 적용된다는 것이다. 이를 위해 향후 조달 프로세스에 소프트웨어 구성요소 목록(SBOM) 제출, 보안 테스트 결과 공유, 제3자 감사 또는 보안 검증 자료 확보 등의 절차가 단계적으로 포함된다. 이번 조치는 2022년 미국 백악관 예산관리국(OMB)이 전 연방기관에 발송한 '안전한 소프트웨어 개발 가속화' 메모의 연장선으로 해석된다. 당시 OMB는 연방기관이 사용하는 모든 소프트웨어에 대해 공급업체가 보안 개발 기준(SSDF)을 충족했는지를 공식 문서 형태로 진술하도록 요구했다. 오픈소스를 포함한 모든 소프트웨어는 그 출처와 보안 유지 체계에 대한 책임이 명확히 정의돼야 한다는 원칙을 제시한 바 있다. SWFT 이니셔티브는 이러한 연방 정부의 보안 정책을 군사적 환경에 특화된 실행계획으로 구체화한 첫 사례로 평가된다. 이 같은 흐름 속에서 국내 공공·국방 조직도 조달 체계의 방향성을 재검토해야 한다는 의견이 전문가들을 중심으로 제기되고 있다. 특히 최근 들어 SK텔레콤, CJ올리브네트웍스 등 주요 기업을 비롯해 교육기관, 의료기관, 연구기관 등 다양한 분야에서 해킹 및 정보 탈취 사고가 반복적으로 발생하고 있어 공급망 보안에 대한 통합적 대응체계 마련이 시급하다는 지적이 뒤따른다. 또한 국내 공공SW 시장은 오픈소스 활용률이 높지만 공급망에 포함된 오픈소스 코드의 보안 상태를 사전에 검증하고 관리할 수 있는 제도적 장치는 미흡하다는 평가가 많다. SBOM 제출, 코드 출처 추적, 유지보수 주체 명시 등의 체계가 마련되지 않을 경우 보안 취약점이 방치된 채 배포되고 운영될 가능성이 있으며, 그 피해는 최종 사용자와 국민에게 전가될 수 있다는 우려다. 아링턴 CIO는 "보안은 선택이 아닌 필수이며, 국방부는 소프트웨어 개발과 조달의 전 과정에 보안을 통합하겠다는 명확한 의지를 갖고 있다"며 "DoD의 사이버보안 및 공급망 위험관리(SCRM) 체계는 단순히 유지되는 수준을 넘어 끊임없이 진화하는 위협 환경에 맞춰 적극적으로 발전해야 한다"고 재차 강조했다.
