정부, SW 공급망 공격 심화…S-BOM 보안 가이드라인 발표

SBOM 국제표준 등 정부 지원체계 담아…공급망 단계별 보안 점검항목도 담겨

컴퓨팅입력 :2024/04/18 17:47

정부가 최근 소프트웨어(SW) 공급망을 노린 사이버 공격을 막기 위해 민간과 협력해 소프트웨어 자재명세서(SBOM) 가이드라인을 배포하고 디지털 보안을 강화한다.

디지털플랫폼정부위원회와 과학기술정보통신부·국가정보원·디지털플랫폼정부위원회·한국인터넷진흥원은 SW 공급망 보안 가이드라인 간담회를 개최했다고 18일 밝혔다.

간담회에서 업계 전문가들은 가이드라인 주요 내용을 공유하고 향후 국내 확산 방안을 논의했다. 

다양한 산업분야로 널리 확산되고 있는 디지털 제품・서비스에서 SW의 비중이 높아지고 있다. 모든 디지털 제품과 서비스가 네트워크로 연결되고 있고 이를 악용한 SW 공급망 침투 등 악성코드를 삽입하는 공격도 늘고 있다는 지적이 나온 바 있다.

SW 공급망(개발-유통-운영-패치 등) (디플정 제공)

가이드라인엔 ▲SBOM 국제표준 ▲SW 개발주기에 따른 SBOM 관리 방안 ▲공급망 단계별 보안 점검항목 ▲판교 기업지원허브, 원주 디지털 헬스케어 보안리빙랩 등 정부 지원체계 등이 담겼다.

또 가이드라인에 기반한 SBOM의 국제 표준 및 활용 방안도 공유됐다. 제조업 자재명세서의 개념을 적용한 것으로 소프트웨어의 구성요소를 메타 데이터로 나타낸다.

SW 공급망 보안 가이드라인은 사이버 공격 대응뿐만 아니라 SW 품질을 높여 우리 기업의 수출에도 도움이 된다. 미국 및 유럽 등 주요국은 SW 공급망 보안 제도화를 추진하고 있다. 정부는 이번 가이드라인 보급이 SW 개발 기업을 향한 규제가 아닌 이들 상품의 품질 및 보안역량을 제고하는 조치라고 설명했다. 또 SW 개발 중소기업의 수출을 지원하겠다고 강조했다.

관련기사

강도현 과기정통부 제2차관은 "이번 가이드라인은 기업 규제가 아니라 이들의 자체적인 보안활동을 강화해 경쟁력을 높여주는 것"이라며 "특히 SW 중소기업 지원에 노력을 아끼지 않겠다"고 말했다.

윤오준 국정원 3차장은 "최근 북한의 고도화된 해킹조직에 의한 우리나라 국가·공공기관 대상 공급망 위협이 심화하고 있다"면서 "산업계 및 해외 국가와 협력해 업계 부담을 줄이면서도 사이버 안보를 강화할 수 있는 공급망 보안 대책을 마련하겠다"고 말했다.