KISA, SW공급망 보안 모델 구축 40억 지원...8개 과제 시행

한국인터넷진흥원(KISA, 원장 이상중)이 올해 40억 원을 투입해 소프트웨어(SW) 공급망 보안모델 구축 지원에 나선다. 작년에 이은 2년차 사업이다. 지원 과제는 총 8개다. 작년과 달리 올해는 (공급망 보안) 위협 모니터링 및 대응체계 구축의 2개 과제를 새로 만들었다. 작년과 동일한 (공급망 보안) 관리체계 구축 과제는 6개다.

앞서 KISA는 2023년 2024년 SBOM(Software Bill of Materials, 소프트웨어를 구성하는 라이브러리·패키지·모듈 등의 목록)을 실제 생성하고 또 어떤 새로운 취약점이 발생을 했을 때 이들을 빨리 식별하고 조치하는 실증 사업을 시행한데 이어 작년에 처음으로 SW 공급망 보안을 강화하는 신규 사업을 진행, 올해가 2년차다.

15일 KISA에 따르면, 이번 '2026년 공급망 보안 사업' 지원 대상은 디지털 제품 및 서비스 개발 공급기업이다. 총 8개 과제를 진행하고, 각 과제당 지원액은 최소 3억에서 최대 5억 원이다.

지원 내용은 SBOM을 활용해 위협을 탐지, 조치할 수 있는 필수설비를 구축, 지속적으로 보안 위협을 추적 및 관리할 수 있게 하는 것으로, 운영 전반의 기술 구축을 돕는다.

이동화 KISA AX공급망보안정책팀장은 이 사업의 기대 효과로 "공급망 위협 대응 역량을 확보, 피해 확산을 방지하는 한편 글로벌 공급망 규제 대응 역량을 확보, 해외 수출 기반을 마련하기 위해서"라면서 "작년에는 개발과 공급 기업을 중심으로 했는데, 올해는 도입 운영 기업으로 사업 참여처를 확대했다"고 밝혔다.

이동화 KISA AX공급망보안정책팀장이 SBOM 사업 내용을 발표하고 있다.

사업 공모는 크게 두 종류로 이뤄진다. 하나는 6개 과제를 진행하는 공급망 보안 관리 체계고, 다른 하나는 2개 과제의 공급망 위협 모니터링 및 대응체계다. 각 과제당 주관기관과 참여기관이 있다. 주관기관은 SBOM 기반의 SW공급망 보안 관리체계를 구축할 주체(기업)고, 참여기관은 구축한 관리체계를 같이 사용할 개발협력사 등 공급망에 속한 기업과 기관, SI업체들이다. 단, 주관기관은 하나의 컨소시엄만 참여 가능하고, 참여기관도 중복 참여가 불가능하다.

지원 종류는 ▲예산 ▲기술 ▲홍보 등 세 가지다. 예산의 경우 지원액은 과제당 3~5억원이내에서 제안이 가능하다. 단, 신청기관은 현금이나 현물 출자로 사업비 일부를 부담해야 한다. 부담액은 기업규모에 따라 다르다. 중소기업은 25%(이중 현금부담 비율이 10% 이상), 중견은 30%(현금부담 비율 13% 이상), 대기업은 50% 이상(현금부담 비율 15% 이상)이다.

기술 지원은 ▲SCA도구 ▲서버 ▲DB 등이다. SW에 숨어있는 라이선스 위반 및 보안취약점 등을 빠르게 식별해 조치할 수 있게 지원하는 것으로, SW개발 전 주기(설계-개발-배포-운영)의 보안 위협 요소를 찾아 보완 대책을 마련할 수 있게 지원한다. 점검 내용에 관계없이 전액을 무료로 돕는다. 지원하는 SCA도구는 국산과 외산 모두 가능하며, 신청기업이 선택한다.

기술 지원은 크게 다섯가지다. ▲첫째, 소스코드상 존재하는 보안 위협(보안 약점) 식별 및 제거조치 지원과 SW보안 약점 관리방안 수립 지원 ▲둘째, SW실행 환경에서 발생하는 보안 취약점 탐지 및 대응방안 컨설팅 ▲셋째, SW구성 명세서(SBOM) 분석 및 취약점 조치 컨설팅 ▲넷째, SBOM 기반 보안 위협 관리(모니터링, 신속 대응) 방안 컨설팅 ▲다섯째, 기업 유무형 인프라(개발환경, 개발 조직 및 프로세스) 보안 컨설팅 등이다. 출장 지원도 시행하고 있다. 기업당 1개 SW에 한해 연 1회 제공한다. 출장 지원 기간은 기업 특성에 따라 최소 3일에서 최대 10일이고, KISA나 민간 전문가를 현장에 배치한다.