[과기정통부] 범정부 협력으로 소프트웨어(SW) 분야도 공급망 보안 강화(2024.04.19)
과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회는 한국인터넷진흥원과 함께 4월18일(목) 광화문 인근에서 「SW 공급망 보안 가이드라인 간담회」를 개최하였다. 이날 간담회에는 과기정통부 강도현 2차관, 국정원 윤오준 3차장, 디플정위 이용석 단장, 대통령실 신용석 사이버안보비서관 등 관계부처 및 정보통신(ICT), 정보보호, 정유업, 방위산업 등 다양한 산업분야 전문가들이 참석하여 민관 협력으로 마련한 「SW 공급망 보안 가이드라인(이하 ‘가이드라인’)」의 주요 내용을 공유하고, 향후 국내 확산방안 등을 논의하였다.
첫 발표자로 나선 고려대 최윤성 교수가 ‘공급망 위기관리 체계’ 등 SW 공급망 보안 가이드라인 주요내용을 소개했고, 한남대 이만희 교수는 SW 공급망 보안 가이드라인을 기반으로 하는 SBOM 생성 및 보안취약점 관리 실증사례를, KAIST 강병훈 교수는 SW 개발기업의 중요 자산인 SBOM의 안전한 활용방안을 공유하였으며, 참석자들 간 논의가 이어졌다.
1. SW 공급망 보안 가이드라인은 왜 필요한가 ?
국민의 일상생활과 다양한 산업분야로 널리 확산되고 있는 디지털 제품・서비스에서 SW의 비중이 높아지고, 모든 디지털 제품과 서비스가 네트워크로 연결됨에 따라 SW 보안 취약점을 악용 하거나, SW 공급망에 침투하여 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 고조되고 있다. 이에 미국 및 유럽 등 주요국에서는 SBOM(SW Bill of Materials) 기반 SW 공급망 보안의 제도화가 추진되고 있어, 국내 정부・공공 기관 및 민간 기업의 의사결정자 및 실무자들도 SW 공급망 보안의 개념을 쉽게 이해하고, 활용할 수 있도록 지원하기 위해 마련되었다.
2. SW 공급망 보안 가이드라인은 어떤 내용을 담고 있는가 ?
본 가이드라인은 총 4개 장으로 구성되어 있으며, 대통령 직속 디지털플랫폼정부위원회의 공급망 보안 정책방향, 국내 전문가들의 연구결과, 국산 SW에 대한 SBOM 실증 및 SW 공급망보안포럼 논의 결과, SW 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과를 담고 있다. 제1장에서는 디지털화에 따른 공개 SW 활용 확대 등 환경변화, 주요 SW 공급망 보안 사고사례 및 이에 대응하는 미국, 유럽, 일본 등 주요국의 SW 공급망 보안 제도화 추진현황 분석을 통해 우리나라도 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련・확산할 필요가 있다는 시사점을 도출하였다.
제2장은 국내 SW 공급망 보안 전문가들의 연구결과를 반영한 것으로 안전한 SW 개발・운영을 위해 지켜야 할 개발(공급)사 및 SW 고객(운영)사의 역할을 규정하고, ‘SW 공급망 참여자들의 사이버보안 및 활동 권고’와 함께 안전한 SW 개발체계(Secure Software Development Framework, SSDF) 활용방안을 제시하였다. 또한 SW 공급망 보안을 위한 가장 효과적인 수단으로 활용되고 있는 SBOM 국제 표준을 소개하였고, 정부・공공 기관 및 민간 기업들이 활용할 수 있는 ‘SW 개발 생명주기에 따른 SBOM 관리방안’과 함께 국가적 차원의 SW 공급망 보안 관리체계도 제시하였다.
제3장은 국내 정부・공공 기관 및 민간 기업들이 SW 공급망 보안 관리를 위한 시행착오를 줄일 수 있도록 지원하기 위해 마련되었다. 이를 위해 과기정통부・KISA는 국내 사이버보안 전문기업들과 함께 국산 SW를 대상으로 SBOM을 생성하고, 보안 취약점을 탐지・조치하는 일련의 과정을 알기 쉽게 제시하였으며, 실무자들이 쉽게 활용할 수 있는 공급망 각 단계별 이용자 보안 점검항목 30개도 제시하였다.
제4장은 국내 정부・공공 기관 및 민간 기업 등의 “SBOM 기반 SW 공급망 보안” 도입 지원을 위한 정부 지원상황을 소개하고 있다. 민간 분야 가전, 금융, 스마트도시 등 다양한 SW의 보안 취약점 점검 지원을 위해 SBOM 기반의 SW 공급망 보안 관리 지원체계를 기업지원허브(판교)와 디지털헬스케어보안리빙랩(원주)에 갖추고 있으며, SBOM 자동생성 도구개발 등에 대한 연구개발을 지원하고 있다.
정부・공공에 유통될 수 있는 SW의 보안 취약점 점검 및 시험기관들의 기술지원을 위해 판교 국가사이버안보협력센터에서 테스트베드를 운영하고 있으며, 실무자들이 SBOM을 보다 편리하게 활용할 수 있도록 SBOM 최소 요구항목을 통한 보안 취약점 점검도 지원하고 있다.
3. SW 공급망 보안 가이드라인은 어떻게 활용되는가 ?
정부는 SW 공급망 보안 가이드라인을 KISA, NIPA 및 한국소프트웨어산업협회(KOSA), 한국정보보호산업협회(KISIA) 등 유관 단체를 통해 정부・공공기관 및 민간 기업들이 활용할 수 있도록 널리 확산하는 한편, 국내 중소기업들이 SBOM 기반의 SW 공급망 보안 관리체계를 구축하고 자발적인 품질관리 활동을 통해 국산 SW의 품질을 높이고, 해외 무역장벽을 극복할 수 있는 자체 역량을 키워나갈 수 있도록 체계적으로 지원해나갈 계획이다.
*source : 대한민국 정책브리핑 보도자료