[과기정통부] 범정부 협력으로 소프트웨어(SW) 분야도 공급망 보안 강화(2024.04.19)

image_print

과학기술정보통신부국가정보원디지털플랫폼정부위원회는 한국인터넷진흥원과 함께 4월18일(목) 광화문 인근에서 「SW 공급망 보안 가이드라인 간담회」를 개최하였다. 이날 간담회에는 과기정통부 강도현 2차관, 국정원 윤오준 3차장, 디플정위 이용석 단장, 대통령실 신용석 사이버안보비서관 등 관계부처 및 정보통신(ICT), 정보보호, 정유업, 방위산업 등 다양한 산업분야 전문가들이 참석하여 민관 협력으로 마련한 「SW 공급망 보안 가이드라인(이하 ‘가이드라인’)」의 주요 내용을 공유하고, 향후 국내 확산방안 등을 논의하였다.

첫 발표자로 나선 고려대 최윤성 교수가 ‘공급망 위기관리 체계’ 등 SW 공급망 보안 가이드라인 주요내용을 소개했고, 한남대 이만희 교수는 SW 공급망 보안 가이드라인을 기반으로 하는 SBOM 생성 및 보안취약점 관리 실증사례를, KAIST 강병훈 교수는 SW 개발기업의 중요 자산인 SBOM의 안전한 활용방안을 공유하였으며, 참석자들 간 논의가 이어졌다.

1. SW 공급망 보안 가이드라인은 왜 필요한가 ?

국민의 일상생활과 다양한 산업분야로 널리 확산되고 있는 디지털 제품・서비스에서 SW의 비중이 높아지고, 모든 디지털 제품과 서비스가 네트워크로 연결됨에 따라 SW 보안 취약점을 악용 하거나, SW 공급망에 침투하여 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 고조되고 있다. 이에 미국 및 유럽 등 주요국에서는 SBOM(SW Bill of Materials) 기반 SW 공급망 보안의 제도화가 추진되고 있어, 국내 정부・공공 기관 및 민간 기업의 의사결정자 및 실무자들도 SW 공급망 보안의 개념을 쉽게 이해하고, 활용할 수 있도록 지원하기 위해 마련되었다.

2. SW 공급망 보안 가이드라인은 어떤 내용을 담고 있는가 ?

본 가이드라인은 총 4개 장으로 구성되어 있으며, 대통령 직속 디지털플랫폼정부위원회의 공급망 보안 정책방향, 국내 전문가들의 연구결과, 국산 SW에 대한 SBOM 실증 및 SW 공급망보안포럼 논의 결과, SW 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과를 담고 있다. 제1장에서는 디지털화에 따른 공개 SW 활용 확대 등 환경변화, 주요 SW 공급망 보안 사고사례 및 이에 대응하는 미국, 유럽, 일본 등 주요국의 SW 공급망 보안 제도화 추진현황 분석을 통해 우리나라도 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련・확산할 필요가 있다는 시사점을 도출하였다.

제2장은 국내 SW 공급망 보안 전문가들의 연구결과를 반영한 것으로 안전한 SW 개발・운영을 위해 지켜야 할 개발(공급)사 및 SW 고객(운영)사의 역할을 규정하고, ‘SW 공급망 참여자들의 사이버보안 및 활동 권고’와 함께 안전한 SW 개발체계(Secure Software Development Framework, SSDF) 활용방안을 제시하였다. 또한 SW 공급망 보안을 위한 가장 효과적인 수단으로 활용되고 있는 SBOM 국제 표준을 소개하였고, 정부・공공 기관 및 민간 기업들이 활용할 수 있는 ‘SW 개발 생명주기에 따른 SBOM 관리방안’과 함께 국가적 차원의 SW 공급망 보안 관리체계도 제시하였다.

제3장은 국내 정부・공공 기관 및 민간 기업들이 SW 공급망 보안 관리를 위한 시행착오를 줄일 수 있도록 지원하기 위해 마련되었다. 이를 위해 과기정통부・KISA는 국내 사이버보안 전문기업들과 함께 국산 SW를 대상으로 SBOM을 생성하고, 보안 취약점을 탐지・조치하는 일련의 과정을 알기 쉽게 제시하였으며, 실무자들이 쉽게 활용할 수 있는 공급망 각 단계별 이용자 보안 점검항목 30개도 제시하였다.

제4장은 국내 정부・공공 기관 및 민간 기업 등의 “SBOM 기반 SW 공급망 보안” 도입 지원을 위한 정부 지원상황을 소개하고 있다. 민간 분야 가전, 금융, 스마트도시 등 다양한 SW의 보안 취약점 점검 지원을 위해 SBOM 기반의 SW 공급망 보안 관리 지원체계를 기업지원허브(판교)와 디지털헬스케어보안리빙랩(원주)에 갖추고 있으며, SBOM 자동생성 도구개발 등에 대한 연구개발을 지원하고 있다.

정부・공공에 유통될 수 있는 SW의 보안 취약점 점검 및 시험기관들의 기술지원을 위해 판교 국가사이버안보협력센터에서 테스트베드를 운영하고 있으며, 실무자들이 SBOM을 보다 편리하게 활용할 수 있도록 SBOM 최소 요구항목을 통한 보안 취약점 점검도 지원하고 있다.

3. SW 공급망 보안 가이드라인은 어떻게 활용되는가 ?

정부는 SW 공급망 보안 가이드라인을 KISA, NIPA 및 한국소프트웨어산업협회(KOSA), 한국정보보호산업협회(KISIA) 등 유관 단체를 통해 정부・공공기관 및 민간 기업들이 활용할 수 있도록 널리 확산하는 한편, 국내 중소기업들이 SBOM 기반의 SW 공급망 보안 관리체계를 구축하고 자발적인 품질관리 활동을 통해 국산 SW의 품질을 높이고, 해외 무역장벽을 극복할 수 있는 자체 역량을 키워나갈 수 있도록 체계적으로 지원해나갈 계획이다.

*source : 대한민국 정책브리핑 보도자료

image_print

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다