정부가 '소프트웨어(SW) 공급망 보안 가이드라인 1.0'을 마련해 발표했다.
확산하고 있는 SW 공급망 사이버보안 위험과 미국, 유럽 등 해외 주요국의 SW 구성요소 명세서(SW Bill of Materials, SBOM) 제출 의무화 등에 대응하기 위한 것이다. 정부·공공 기관 및 기업이 자체적인 SW 공급망 보안 관리역량을 갖출 수 있도록 지원하기 위한 지침이다. 지침(가이드라인)은 과기정통부, 국정원, 디플정위, 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호산업협회(KISIA) 등 정부·공공기관 홈페이지에서 13일 오전 12시부터 무료로 내려받을 수 있다. 정부는 "세계적으로 유례없는 실무 안내서"라고 밝혔다.
12일 과기정통부·디플정위 등에 따르면 이번 지침은 국산SW에 대한 SBOM(S봄) 실증 및 SW 공급망 보안 테스트베드(판교) 시범 운영 결과 등을 반영했다. 향후 미국 등 주요 국가와 협력해 해외에도 소개할 계획이다.
지침은 전체본(100여 페이지)과 요약본(16 페이지)으로 제공한다. 정부·공공기관의 정책결정자 및 기업 경영진은 요약본을 통해 쉽고 빠르게 SW 공급망 보안의 주요 내용을 이해할 수 있다. 국내 중소기업에게 SW 공급망 보안은 전문인력과 SBOM 생성 도구 등 전용시설을 갖춰야 하는 현실적인 어려움으로 초기 투자에 상당한 부담이 될 수밖에 없지만 피할 수 없는 숙제와 같은 것이다.
관련기사
- 강도현 차관 "미국 등 SW공급망 보안 제도화···적극 대응"2024.03.19
- 韓·英 사이버안보기관, 北 SW공급망 해킹 위협 경고2023.11.23
- 쿠버네티스 공동 설립자, SW공급망 보안 기업 설립2023.05.18
- LG전자, 4개 사업본부 대수술...고객 지향 솔루션 체제로2024.11.21
이와 같은 기업 애로사항을 해결하기 위해 정부는 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW 공급망 보안 관리체계를 구축하고 기업 지원 서비스를 제공하고 있다. 특히, 지침에는 정부·공공 기관 및 기업이 SBOM 기반 SW 공급망 보안 관리체계를 도입하는 과정에서 시행착오를 줄일 수 있게SBOM 유효성 검증, SW 구성요소 관리 요령 및 SBOM 기반 SW 공급망 보안 관리 방안 등을 상세히 수록했다.
정부는 이 지침이 다양한 산업분야서 활용할 수 있게 홍보하는 한편, 디지털플랫폼정부 주요시스템 구축 시 SBOM을 시범 적용해 우수사례를 도출, 발전시켜 나갈 계획이다. 과기정통부는 "SBOM 도입 제도화는 필요하지만 체계적인 준비 없이 제도를 성급히 도입할 경우 SW 개발기간이 장기화하고, 원가 상승요인으로 작용해 기업 부담 요인이 될 수 있다"면서 "이에 따라 정부는 기업의 SBOM 적용 지원을 강화하면서 SW 공급망 보안 저변을 확대하는 한편 향후 주요국의 제도화 동향과 국내 산업 성숙도를 고려, 점진적으로 제도화를 준비해나갈 방침"이라고 밝혔다. 이어 "올 하반기에는 산·학·연 전문가들이 참여하는 범정부 합동TF를 구성해 세부적인 정부지원 방안과 제도화 추진방향을 심도 있게 논의하고 향후 ‘SW 공급망 보안 로드맵’을 마련할 계획"이라고 덧붙였다.