국내 소프트웨어(SW) 공급망 보안을 효율적으로 관리하기 위한 새 지침이 필요하다는 전문가 주장이 나왔다. 미국이나 유럽연합(EU)처럼 공급망 보안을 관리에 자동화된 대응 체계 구축과 정보보안 기본 지침 대상 확대가 절실하다는 입장이다.
국가정보원 관계자는 10~12일 서울 코엑스에서 열린 '사이버 서밋 코리아(CSK) 2024'에서 SW 공급망 보안 정책 개선 방안을 이같이 강조했다.
국정원 관계자는 국내외에서 SW 공급망 보안 중요성이 높아지고 있다고 했다. SW 공급망 보안이란 SW의 개발, 설계, 배포, 업데이트 등 공급망 전 과정에 발생할 수 있는 보안 위협을 예방·대응하는 체계다. SW가 최종 사용자에게 전달되기 전까지 거치는 모든 과정에서 보안 취약점을 식별·보호하는 것을 목표로 한다.
최근 몇 년간 주요 SW 공급망에서 여러 사이버 공격이 발생했다. SW 공급망 보안이 주요 화두로 떠오른 이유다. 이런 보안 위협을 줄이기 위해 기업·기관들은 제로 트러스트 모델 등 보안 전략을 활용하는 추세다.
"정보보안 기본 지침 대상 늘려야…보안 적합성 검증 제도 개선 필요"
국정원 관계자는 국내서 시행 중인 SW 공급망 보안 제도가 시대착오적이라고 주장했다. 그는 "정보보안 기본 지침이 1999년부터 현재까지 운용자 관점에 머물러 있다"며 "해당 지침에 공급망 보안 관련 준수 활동은 반영되지 않았다"고 말했다.
현재 보안 행정기관·공공기관 정보시스템 구축, 운용 지침에 따라 보안 취약점 없는 안전한 SW 개발을 위한 보안 가이드라인이 마련된 상태다. 그러나 SW 개발 과정에 준수해야 할 것만 제시됐다. SW를 사이버 위협으로부터 안전하게 보호하고 보안 취약점에 대응·조치하는 활동은 포함되지 않았다.
그는 보안 적합성 검증 제도도 지적했다. 미국과 EU 정책 대비 적용 범위가 제한적이라는 이유에서다. 현재 국가 공공기관에 도입된 보안용 IT 제품들은 보안 적합성 검증을 받아야 한다. 그러나 국내 공공기관 정보보안 정책이 미국이나 EU 정책에 비해 보호 대상 제품과 시스템 적용 범위가 좁은 실정이다.
실제 국내 공공기관에 도입되는 보안 기능을 갖춘 정보통신 제품만 보안 적합성 검증을 받는다. 보안 기능을 명시적으로 갖춘 제품만 검증받는 셈이다. 반면 미국과 EU는 더 넓은 범위에 속한 SW와 제품 대상으로 공공망 보안 정책을 시행하고 있다.
예를 들어 미국은 '중요 SW'를 정의하고 해당 SW가 공공기관에 도입되기 전 공급망 신뢰성을 검증토록 요구한다. EU는 '디지털 기능을 탑재한 제품' 대상으로 보안 정책을 시행한다. 명시적으로 보안 기능이 없어도 디지털 기능을 갖춘 모든 제품이 보안 검증 대상이 될 수 있다.
"美·EU, SBOM으로 공급망 자동화…韓도 배워야"
국정원 관계자는 미국과 EU처럼 국내 정부도 SBOM을 공급망 위험 관리 핵심 기술 요소로 다뤄야 한다고 주장했다.
SBOM은 SW에 포함된 모든 구성 요소 목록을 나타내는 문서다. SBOM은 SW 제품 투명성을 높이고 보안 취약점을 보다 효과적으로 관리하기 위해 사용된다.
관련기사
- 공공망서도 AI 자유롭게 쓴다…망분리 규제 완화2024.09.11
- 국정원, 글로벌 방위산업 발전·혁신 논의2024.09.10
- 국정원, 사이버안보 정책 구체화…'망분리 개선안' 공개2024.09.09
- 국정원, 안보기술연구원 설립 추진…내년 출범 계획2024.09.09
그는 "국가 공공기관에 SW 제품을 도입하기 전 공급망 신뢰성을 확인하고 국가 공공기관에 도입된 소SW 제품에서 신규 위협을 식별 시 즉각 대응 조치를 실시해야 한다"며 "이를 위해 SBOM 등 자동화된 대응 체계가 필요하다"고 강조했다.
이어 "국내서도 개발 공급 운영기관 간 SBOM을 생성하고, 안전하게 유통할 수 있다"며 "이를 통해 SW 구성 요소 정보를 추적·관리할 수 있다면 제품 신뢰성을 지속적으로 관리할 수 있을 것"이라고 덧붙였다.
