CloudPNG

ºC

logo
IT/바이오

SW공급망 겨냥한 해킹 확산…정부, SBOM 지원으로 수출 기업 방패

박지수 기자
입력

소프트웨어 공급망을 겨냥한 해킹이 전 세계 IT 산업의 구조적 리스크로 부상하면서, 정부가 국내 수출 기업을 겨냥한 지원에 속도를 내고 있다. 단발성 보안 점검이나 재정 보조를 넘어, 미국과 유럽연합 등 주요 수출 시장이 요구하는 보안 기준을 실제로 충족할 수 있도록 SBOM 기반 보안 모델을 기업 개발·운영 과정에 심는 데 초점을 맞췄다. 업계에서는 글로벌 공급망 규제가 강화되는 상황에서 이번 정책이 수출 기업의 진입 장벽을 낮추는 분기점이 될 수 있다는 평가가 나온다.

 

과학기술정보통신부는 한국인터넷진흥원과 함께 5일 서울 피스앤파크컨벤션에서 SW 공급망 보안 모델 구축 지원사업 성과 공유회를 열고 그간의 지원 결과를 공개했다. 이번 사업은 국내 소프트웨어 개발사와 공급사가 자체적으로 공급망 보안 체계를 설계하고 운영하도록 돕는 것을 목표로 8개 컨소시엄을 선정해 추진했다. 각 컨소시엄은 SBOM을 중심에 둔 공급망 보안 모델을 구축하고 실제 서비스와 시스템에 적용하는 역할을 맡았다.

SBOM은 소프트웨어를 구성하는 라이브러리와 모듈, 오픈소스 등 구성요소를 일종의 자재명세서 형태로 기록·관리하는 데이터 집합을 뜻한다. 특정 버전에서 알려진 취약점이 발견됐을 때 어떤 고객사와 제품이 영향을 받는지 신속하게 파악할 수 있고, 제3자 코드나 오픈소스 사용 현황을 투명하게 드러낼 수 있다는 점에서 공급망 보안의 핵심 도구로 꼽힌다. 기존에는 개발사가 개별적으로 패치 관리와 취약점 점검을 수행해 왔지만, 복잡한 글로벌 공급망 안에서는 이런 방식만으로는 연쇄 침해를 막기 어렵다는 지적이 제기돼 왔다.

 

특히 최근 글로벌 보안 이슈는 단일 기업이 아닌 공급망 전체를 노리는 방향으로 진화하고 있다. 특정 개발사의 업데이트 서버를 장악해 악성코드를 정상 소프트웨어로 위장 배포하거나, 널리 쓰이는 오픈소스 라이브러리에 취약한 코드를 주입해 하위 고객사 수십 곳에 한 번에 침투하는 식이다. 공격자가 한 번 침입에 성공하면, 연동된 수많은 기업과 기관으로 피해가 확산될 수 있다는 점에서 제조·금융·헬스케어 등 필수 인프라까지 연쇄 영향을 받을 수 있다.

 

이 같은 흐름에 대응해 미국과 유럽연합은 SBOM 제출과 관리 의무를 법과 가이드라인에 적극 반영하고 있다. 미국은 연방 정부 조달 소프트웨어에 SBOM 제공을 요구하는 방향으로 행정명령과 세부 규정을 마련 중이고, EU도 사이버 보안·제품 안전 관련 법제에서 소프트웨어 구성요소 투명성 확보를 강조하는 추세다. 국내 기업 입장에서는 해외 납품을 위해 소프트웨어 품질과 기능을 맞추는 것과 별개로, SBOM 생성과 유지 관리 역량을 갖추지 못하면 입찰 자격 자체를 얻지 못할 수 있는 구조가 만들어지고 있다.

 

과기정통부는 이런 국제 규제 환경이 국내 기업의 수출 확대에 장애로 작용할 수 있다고 보고, 지원사업의 초점을 SBOM 실무 적용과 글로벌 규제 대응에 맞췄다. 8개 컨소시엄에는 의료, 교통, 보안, 금융 등 다양한 산업 영역에서 활동하는 기업들이 참여했다. 에스트래픽, 에이아이트릭스, 한드림넷 등은 각자의 분야에서 글로벌 규제에 대응하기 위한 SBOM 기반 보안 체계 구축 사례를 발표했다. 의료 영상과 진단을 다루는 인공지능 솔루션, 교통 인프라 제어 시스템, 네트워크 보안 장비처럼 인프라 의존도가 높은 서비스가 중심이었다.

 

휴네시온과 소만사는 공급망 위협에 공동 대응하기 위한 SBOM 정보 공유 사례를 공개했다. 취약점이 보고되면 해당 취약 라이브러리를 사용하는 제품과 고객 리스트를 SBOM에서 즉시 추출해 조치 우선순위를 정하고, 파트너사와 연동된 제품에도 패치를 동시 배포하는 식의 협력 구조를 실험했다. 에이아이스페라, 인젠트, 알체라는 SBOM을 일회성 보고서가 아닌 개발 수명주기 전반에 녹여 넣는 방식을 시도했다. 코드 빌드 단계부터 SBOM을 자동 생성하고, 배포 후에도 업데이트 이력과 취약점 정보를 연계해 실시간에 가까운 관리 체계를 구축하는 방향이다.

 

이번 사업의 특징은 단순 보조금 지원이 아니라, 실제로 미국과 EU의 보안 요구를 충족할 수 있게 기술 지침과 컨설팅을 병행했다는 점이다. 각국 규제에서 요구하는 SBOM 항목과 형식, 갱신 주기, 취약점 통보 절차 등을 한국 기업의 개발 환경에 맞게 해석하고, 이를 개발 파이프라인에 자동화 도구 형태로 통합하는 작업이 포함됐다. 중견·중소 개발사가 단기간에 자체 규범을 정립하기 어려운 점을 감안해, 표준화된 템플릿과 가이드를 제공하는 방식으로 진입 장벽을 낮추려 한 셈이다.

 

전문가들은 SBOM 중심의 공급망 보안 전환이 수출 경쟁력과 직결될 수 있다고 보고 있다. 필수 인프라를 다루는 의료·금융·교통 분야는 규제 기관의 보안 점검이 갈수록 강화되는 만큼, 구성요소 수준까지 추적 가능한 보안 체계를 갖춘 업체가 글로벌 시장에서 유리한 평가를 받을 수 있다는 분석이다. 동시에 SBOM 데이터 관리가 제대로 이뤄지지 않을 경우, 오히려 고객사와 규제 기관에 노출되는 정보량이 늘어 리스크로 작용할 수 있다는 지적도 제기된다. 내부 개발 프로세스와 인력 교육, 데이터 보호 대책을 병행해야 한다는 의미다.

 

국내외 경쟁 구도에서도 공급망 보안 역량은 차별화 요소가 되고 있다. 미국과 유럽의 대형 IT·클라우드 기업들은 이미 자체 SBOM 생성 도구와 취약점 연동 시스템을 운영하며 고객사에 보고서를 정기 제공하고 있다. 일본과 대만 제조사들도 장비·제어 시스템 납품에서 SBOM 요구를 늘리며 수직 계열 공급망 전반으로 보안 기준을 확산하고 있는 상황이다. 국내 기업이 이런 흐름을 따라가지 못하면, 기술 경쟁력과 별개로 보안 문서 요구를 만족하지 못해 수주에서 밀릴 수 있다는 우려가 나온다.

 

향후 제도 측면에서도 SW 공급망 보안은 정책 논의의 주요 의제가 될 전망이다. 국가 핵심 인프라에 도입되는 소프트웨어에 대한 SBOM 제출 의무화, 공공 조달 기준에 공급망 보안 항목 반영, 중소기업을 대상으로 한 표준 도구 보급 등의 방안이 검토 대상이 될 수 있다. 동시에 SBOM에 포함된 구성요소와 취약점 정보가 공격자에게도 유용한 정보가 될 수 있는 만큼, 공개 범위와 관리 책임을 둘러싼 법적·윤리적 논의도 병행될 가능성이 있다.

 

임정규 과기정통부 정보보호네트워크정책관은 SBOM을 활용한 공급망 보안이 이제는 글로벌 시장 진출의 전제조건이 됐다고 강조했다. 그는 소프트웨어 공급망 보안 모델을 국내 산업 전반으로 확대해 나가겠다고 밝히며, 기업 규모와 상관없이 해외 규제 수준을 따라갈 수 있도록 지원을 이어가겠다고 했다. 산업계에서는 정부 지원을 계기로 기업 내부 개발 문화와 보안 체계까지 함께 바꾸는 작업이 병행될 수 있을지 주목하고 있다.

박지수 기자
share-band
밴드
URL복사
#과학기술정보통신부#sw공급망보안#sbom