"SW공급망 보안규제 파고넘는다"…KISA, SBOM모델로 수출리스크↓
소프트웨어 공급망 보안 규제가 글로벌 무역 장벽으로 부상하면서, 국내 기업에 맞는 실질 대응 전략이 산업계 최대 과제로 떠오르고 있다. 미국과 유럽연합이 연이어 규제 강도를 높이는 가운데 한국인터넷진흥원이 국내 개발·수출 기업 환경을 반영한 SBOM 기반 공급망 보안 모델을 공개했다. 일부 기업을 대상으로 한 파일럿 실증에서는 미국 행정명령과 FDA, EU 사이버복원력법 요구 조건을 충족하는 결과가 나와, 업계에서는 향후 수출 경쟁력과 조달 진입장벽 완화의 분기점이 될 수 있다는 평가가 뒤따른다. 내년부터 의료, 금융, AI 등 주요 산업군으로 모델 확산이 예고되면서, 소프트웨어 보안을 둘러싼 국제 규제와 국내 산업 전략의 재정비가 본격화되는 분위기다.
한국인터넷진흥원은 4일 소프트웨어 구성 명세서 기반 공급망 보안 모델 구축 사업의 주요 성과와 내년도 계획을 발표했다. 올해 총 60억원 규모로 추진된 신규 사업을 통해 국내 기업의 개발 환경과 수출 프로세스를 분석하고, 실제 참여 기업 사례에서 공통 요구사항을 추출해 5가지 SBOM 기반 공급망 보안 모델을 정리했다. 단일 권고안을 일괄 제시하는 방식이 아니라, 개발 방식과 산업군, 수출 대상국에 따라 선택·조합할 수 있는 유형별 모델을 만든 점이 특징으로 꼽힌다.
가장 주목받는 것은 미국과 유럽연합 등 해외 규제에 대응하기 위한 글로벌 규제 대응 모델형이다. 미국 행정명령 14028이 연방정부 조달 소프트웨어에 SBOM 제출과 안전한 개발 프로세스를 의무화하고, 미 식품의약국이 의료기기 인허가 과정에서 SBOM과 취약점 관리 체계를 요구하는 가운데, 유럽연합도 사이버복원력법을 통해 제품·서비스 전 주기에 걸친 보안 의무를 강화하고 있다. KISA 모델은 각 규제에서 요구하는 SBOM 항목, 취약점 관리 절차, 개발 보안 요구조건을 매핑한 뒤 실제 수출 프로세스에 반영한 것이 핵심이다.
실증 사례도 나왔다. 교통 인프라 시스템을 수출하는 에스트래픽은 미국 워싱턴 교통국 철도 인프라 사업 수주 과정에서 요구된 정보요청서와 제안요청서 상의 보안 규격을 충족하는 체계를 구축했다. SBOM을 기반으로 구성요소를 명시하고, 취약점 발생 시 통보·조치까지 이어지는 관리 프로세스를 수출 절차에 연결했다. 의료 소프트웨어 기업 에이아이트릭스는 FDA 의료기기 인허가 심사에서 요구하는 SBOM 제출과 취약점 관리 요건을 충족하는 체계를 마련해 대미 수출 길을 넓혔다. 네트워크 장비 펌웨어를 수출하는 한드림넷은 일본 파트너와 고객사에 펌웨어 SBOM을 공유하고, 신규 취약점이 공개될 때마다 개선 내용을 전달하는 구조를 구축했다. 이동화 KISA 공급망안전정책팀장은 단순 SBOM 생성이 아니라 발주처가 요구하는 리스크 관리 절차를 수출 단계에 녹여 넣은 점을 성과로 꼽았다.
공급망 투명성을 높이기 위한 SBOM 공유·내재화 모델도 처음으로 실증이 이뤄졌다. 그동안 많은 기업들이 민감한 SBOM 데이터를 이메일 첨부 방식으로 주고받으며 유출·위변조 위험에 노출돼 있었다. KISA는 제조사 소만사와 납품사 휴네시온 간 SBOM 공유 전용 플랫폼 기반 체계를 구축했다. 제조사가 암호화된 SBOM 파일을 전용 플랫폼을 통해 전달하고, 납품사는 이를 자체 보안관제 시스템과 연동해 구성요소와 취약점을 관리하는 구조다. 미국 사이버보안·인프라 보안국이 권고하는 SBOM 공유 모델 가운데 플랫폼 기반 공유 방식을 국내 환경에 맞게 구현한 첫 사례로 평가된다.
이와 함께 KISA는 공통 구축 모델을 통해 오픈소스 도입, 지속적 통합·배포, SBOM 생성, 취약점 모니터링을 하나의 파이프로 묶은 한국형 기본 공급망 보안 모델도 제시했다. 인젠트, 알체라 등은 상용 솔루션 의존도를 줄이고 사내 개발 절차와 규정, 인프라에 공급망 보안을 내재화하는 작업을 진행했다. 오픈소스 기반 소프트웨어 구성 분석 도구를 개발 환경과 연계해 자동으로 SBOM과 취약점 정보를 생성하고, 사내 이슈 관리 시스템과 연동해 개발자가 결함을 즉시 확인·조치하도록 만드는 식이다. 분야별 요구가 다른 점을 감안해 일부 기업은 DevOps 파이프라인 단계별로 필수 보안 점검 항목을 정의해 코드 커밋, 빌드, 배포 단계마다 SBOM 검사와 취약점 점검이 자동 수행되도록 튜닝했다.
KISA는 국내 소프트웨어 공급망의 취약 여건도 수치로 제시했다. 올해 지원 사업을 통해 약 23만1000개의 오픈소스 컴포넌트를 분석한 결과 약 3.5퍼센트에서 공용 취약점 표기 시스템에 등록된 보안 취약점이 발견됐다. 이 가운데 약 0.49퍼센트는 실제 해킹 공격에 악용된 것으로 확인된 고위험 취약점이었다. KISA는 해당 기업에 패치 적용, 버전 업그레이드, 대체 모듈 도입 등 구체적인 조치 방안을 제시하고, DevOps 개발환경 보완을 위한 52개 항목의 보안 개선 권고도 제공했다. 오픈소스 비중이 높은 국내 소프트웨어 환경에서 공급망 취약점이 실제 침해사고로 이어질 수 있다는 점을 보여주는 대목이다.
내년부터는 가이드라인의 산업별 확산이 본격화된다. KISA는 이번 모델 구축 성과를 바탕으로 내년 초 공급망 보안 자가진단 체크리스트를 담은 안내서를 배포할 예정이다. 유럽연합 사이버복원력법과 미국의 안전한 소프트웨어 개발 프레임워크 등 주요 글로벌 규제를 분석해 국내 기업이 자체 점검 시 확인해야 할 118개 필수 항목을 추렸다. 항목에는 개발 라이프사이클 보안 통제, SBOM 작성 기준, 취약점 모니터링과 통보, 제3자 라이브러리 관리, 문서화·감사 대응 절차 등 해외 규제에서 반복적으로 요구되는 요소가 포함된 것으로 알려졌다. 전문가들은 대기업뿐 아니라 중견·중소 소프트웨어 공급사까지 활용 가능한 체크리스트가 보급돼야 공급망 전체 보안 수준이 올라갈 수 있다고 지적한다.
KISA는 내년부터 의료, 금융, AI 등 규제 민감도가 높은 영역을 중심으로 산업 특화 공급망 보안 프레임워크를 확산할 계획이다. 헬스케어 분야에서는 FDA와 각국 의료기기 규제에 맞춘 SBOM 항목 정비가, 금융권에서는 전자금융감독 규정과 연계한 개발·운영 프로세스 정비가 필요하다는 판단에서다. AI 분야에서는 모델 학습 데이터와 오픈소스 프레임워크 의존도가 높은 만큼, SBOM 범위를 애플리케이션 코드뿐 아니라 라이브러리와 개발 도구까지 확장하는 방안도 검토될 전망이다. 이동화 팀장은 설계 단계부터 납품 이후 유지관리까지 전 과정에서 발생 가능한 위협에 대응할 수 있도록 보안 점검과 컨설팅을 제공하겠다고 강조했다.
글로벌 시장에서는 이미 소프트웨어 공급망 보안이 조달 자격과 직결되는 상황이다. 미국 연방·주정부, 유럽 공공부문뿐 아니라 대형 제조·통신사들도 SBOM 제출을 입찰 요건에 넣기 시작했고, 주요 클라우드 사업자 역시 파트너에게 공급망 보안 기준을 요구하는 추세다. 국내 기업에 대한 규제 충격을 줄이면서도 국제 기준을 따라잡기 위해서는 정부 가이드라인과 기업 자율 대응 간 정교한 조율이 필요하다는 목소리가 나온다. 산업계는 KISA가 제시한 SBOM 기반 모델이 실제 현장에서 어느 수준까지 정착할지 예의주시하고 있다. 기술과 규제가 동시에 진화하는 국면에서, 공급망 보안이 수출 경쟁력의 핵심 변수로 부상하고 있다는 평가가 힘을 얻고 있다.
