"SW공급망 보안 강화"···8개 시범사업 시행

과학기술정보통신부(과기정통부)는 한국인터넷진흥원(KISA, 원장 이상중)과 함께 글로벌 규제 및 소프트웨어(SW) 공급망 위협에 대응하기 위해 국내기업들의 SW 공급망 보안 관리체계 구축 및 운영 전반에 대해 지원하는 'SBOM 기반 SW 공급망 보안모델 구축 지원사업'을 본격 추진한다고 밝혔다. 'S봄(SBOM)은 제조업의 자재명세서(Bill of Materials, BOM) 개념을 SW에 적용한 것이다. SBOM을 통해 SW의 구성요소를 식별하고 관리하는데 활용할 수 있다. 최근 국민의 일상생활은 물론 다양한 산업 분야에서 SW의 활용 비중이 높아지고, 디지털 제품·서비스가 네트워크로 연결됨에 따라 SW의 보안 취약점을 악용하거나 SW 공급망에 침투하여 악성코드를 삽입하는 등 SW 공급망 위협 사례가 지속적으로 발생하고 있다. 특히, 이러한 SW 공급망 위협은 단일기업·기관의 피해에서 그치지 않고 연쇄적 피해로 이어질 수 있어 그 위험성이 더 큰 상황이다. 실제 2021년 말 발생한 Log4j 보안취약점 사태의 경우 보안취약점 자체도 문제였지만 Log4j가 어느 제품 또는 서비스에 어떻게 사용되고 있는지 정확히 파악하는 것이 불가능해 대응조치가 어렵다는 점이 문제로 지적된 바 있어, SBOM을 기반으로 SW 공급망 관리 강화의 필요성이 대두되기도 했다. 이러한 SW 공급망 위협 증가는 미국·유럽연합(EU) 등 주요국의 SW 공급망 보안 강화 조치로 이어져 SBOM 제출 혹은 관리를 의무화하는 등의 정책·제도 등으로 구현되고 있어, 국내기업들의 수출장벽으로 작용할 우려가 있다. 예컨대, 미국은 의료기기 인허가 시 SBOM을 확인하고 있고, 유럽은 커넥티드카·자율주행시스템 SBOM 관리의무화에 이어 사이버복원력법(CRA,'27~) 시행에 따른 '디지털 요소가 있는 기기'의 SBOM 관리를 요구하고 있다. 이에 따라, 과기정통부와 KISA는 디지털제품·서비스를 개발·공급·운영하는 기업을 대상으로 자체적으로 SW 공급망 보안을 관리할 수 있는 모델 구축부터 운영 및 보안 취약점을 조치할 수 있는 기술지원까지 제공하는 시범사업을 통해 SW 공급망 보안에 투자해야 하는 기업들의 부담과 어려움을 최소화할 수 있도록 지원한다. 또 작년 하반기에 출범한 범정부 합동 TF를 통해 산·학·연 전문가 및 과기정통부·국정원 등 관계부처가 함께 향후 정책방향 등 SW 공급망 보안 로드맵을 마련해 제시할 예정이다. 이번 사업은 SW 공급망에 속해있는 개발·제조·공급·운영 등 기업·기관, SI기업 등이 개발 협력사와 다양한 형태의 컨소시엄을 구성해 참여해야 하며, 총 8개 과제를 선정해 과제당 최대 3.75억원을 지원할 예정이다. 이 사업의 참여를 희망하는 기업·기관 관계자를 대상으로 오는 13일 'SBOM 기반 SW 공급망 보안모델 구축 지원사업 설명회'를 개최해 세부계획을 설명할 예정이다. 공모 접수는 오는 17일(월)부터 4월 21일(월)까지다. 신청 방법 등 공모와 관련한 자세한 내용은 한국인터넷진흥원 누리집에서 확인할 수 있다. 과기정통부 최우혁 정보보호네트워크정책관은 "최근 SW 공급망을 노린 사이버 위협이 증가하고, 이에 따른 글로벌 규제도 강화하고 있어 SW 공급망 보안 강화를 위한 대비가 필수"라면서 “이번 지원사업을 통해 국내기업의 SW 공급망 보안을 강화하고, 해외 수출장벽을 극복하는 데 지원을 아끼지 않겠다”고 말했다.