“SW 공급망 보안, 국가 안보의 핵심 이슈로”…한국 공급망 정책 본격화

소프트웨어(SW) 공급망 보안이 IT·바이오를 중심으로 국가 안보의 핵심 이슈로 부상하고 있다. 최근 미국·유럽을 중심으로 대형 해킹 사건이 이어지면서, 국방이나 의료, 에너지 같은 기간 인프라뿐 아니라 첨단 기술 산업과 수출 경쟁력까지 위협받고 있다. 업계와 정부는 SW 보안을 단순 기술 과제가 아닌 국가적 전략으로 전환해야 할 시점으로 본다.

최근 서울에서 열린 '2025년도 공급망보안워크숍'에서 이만희 한국정보보호학회 공급망보안연구회장(한남대 교수)은 “이제 소프트웨어 공급망은 국가 안보의 최전선”이라며 “거시적 전략 마련이 시급하다”고 말했다. 2020년 미국 정부 기관과 1만8000개 기관·기업이 동시 피해를 입은 ‘솔라윈즈’ 사태 이후, 주요국은 공급망 타격에 대비한 보안 기준을 빠르게 도입하고 있다.

소프트웨어 공급망 보안은 개발·배포·설치·업데이트 등 전 주기에서 악성코드 유입과 해킹을 차단하는 체계다. 과거 오프라인 패키지 방식 대신 현재는 온라인·클라우드 기반 자동 업데이트 시스템이 보편화되면서, 단일 유통 경로가 뚫릴 경우 다수 기업·기관에 대규모 피해가 동시 발생할 위험성이 커졌다. 특히 이번 기술은 기존 개별적 보안 대응만으로 한계가 드러난 상황을 극복했다.

이러한 상황에서 유럽연합(EU)은 '사이버 복원력법(CRA)'을 도입해 2027년부터 모든 디지털 제품에 공급망 보안 적용을 의무화한다. 미국 정부도 연방기관에 안전한 소프트웨어 개발체계(SSDF) 적용을 의무화하고, 국방부는 소프트웨어 자재 명세서(SBOM) 제출 등 보안 규정을 강화했다.

국내 역시 2027년을 목표로 소프트웨어 공급망 보안 정책과 가이드라인이 정비 중이다. 지난해 공개된 ‘SW 공급망보안 가이드라인 1.0’에 이어, 관련 태스크포스(TF)가 단계별 로드맵을 마련 중이다. 보건과 에너지 인프라 분야가 우선 대응 대상으로 꼽히며, 의료 시스템과 원자력·전력 등 주요 산업 설비의 보안 강화가 동시에 추진되고 있다.

경쟁 구도 측면에서는 미국·EU·일본 등 주요국이 제도화에 속도를 내고 있다. 이만희 교수는 “유럽은 2027년부터 공급망 보안 요건 미달 디지털 제품의 시장 진입 제한 가능성이 크고, 미·일도 정부조달과 수출 차단 등 강한 제재를 시사한다”고 분석한다. 이같은 흐름을 놓칠 경우 국내 디지털 산업의 수출 경쟁력 자체가 흔들릴 수 있다는 지적이다.

공급망 보안은 단순한 IT 통제를 넘어, 국방·경제·과학기술·보건·에너지 등 국가 6대 안보축에 필수로 작용하고 있다. 이 교수는 “인공지능이나 바이오 등 첨단기술 분야 역시 기술 자료 유출 위험에 노출돼 있다”며, “국내도 보안 체계 강화를 정부 정책의 최우선 과제로 삼아야 한다”고 강조했다.

산업계는 공급망 보안이 실제 현장에 뿌리내릴 수 있을지, 그리고 글로벌 보안 규제 경쟁에서 뒤처지지 않을지 촉각을 곤두세우고 있다. 기술과 제도, 산업 환경의 조화가 앞으로 디지털 시대 국가 경쟁력을 결정짓는 분수령이 될 것으로 보인다.