SBOM 기반 SW 공급망 보안 강화 나선다···40억원 투입

과학기술정보통신부 전경. [사진=과기정통부] 

[이뉴스투데이 백연식 기자] 정부가 소프트웨어(SW) 공급망 보안 강화를 위한 지원사업을 본격 추진한다. 디지털 전환 확산으로 공급망 공격 위험이 커지는 가운데 SBOM 기반 보안 관리체계를 구축해 기업의 대응 역량을 높이겠다는 전략이다. SBOM은 소프트웨어를 구성하는 전체 컴포넌트의 구성 요소와 의존 관계를 정리한 자재명세서를 의미한다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 국내 기업의 SW 공급망 보안 관리체계 구축을 지원하는 사업을 지난해에 이어 올해도 본격 추진한다고 17일 밝혔다.

디지털 기술 확산으로 SW가 제조·교통·의료 등 다양한 산업에 융합되면서 SW 공급망은 점차 확대되고 복잡해지고 있다. 복잡한 공급망의 취약점을 노린 새로운 사이버 위협도 증가하는 추세다. 특히 SW 공급망 공격은 한 번의 침해로 다수 기업과 개인에게 영향을 미칠 수 있어 기존 공격보다 파급력이 크다는 평가다.

위협 증가에 대응해 미국과 유럽연합(EU) 등 주요국은 SW 공급망 보안 강화를 위한 정책을 마련하고 있다. 미국은 의료기기 인허가 과정에서 SW 자재명세서(SBOM) 확인 등 안전한 개발 증명을 요구하는 추세다. EU는 사이버복원력법(CRA) 시행을 통해 ‘디지털 요소가 있는 기기’에 대한 SBOM 관리 의무화를 추진 중이다. 이러한 규제는 향후 국내 디지털 기업의 해외 진출 과정에서 새로운 장벽으로 작용할 가능성이 존재한다.

과기정통부와 KISA는 40억원 규모의 ‘공급망 보안 모델 구축 지원사업’을 통해 디지털 제품·서비스를 개발·공급·운영하는 기업을 대상으로 SW 공급망 보안 관리 모델 구축을 지원한다. 사업 참여 기업에는 관리체계 구축뿐 아니라 운영 단계에서의 보안 취약점 조치 등 기술 지원도 제공된다.

올해 사업에서는 총 8개 과제를 추진한다. 이 중 2개 과제는 개발·공급 기업뿐 아니라 운영 기업까지 참여하는 컨소시엄 구성을 필수로 해 공급망 위협 모니터링과 대응 단계까지 포함하는 새로운 보안 관리 모델을 발굴할 계획이다.

과기정통부는 사업 참여를 희망하는 기업과 기관 관계자를 대상으로 오는 18일 사업 설명회를 열어 세부 계획을 안내할 예정이다. 공모 접수는 지난 10일부터 4월 9일까지 진행되며 자세한 내용은 KISA 누리집에서 확인할 수 있다.

임정규 과기정통부 정보보호네트워크정책관은 “SW 공급망이 복잡해지면서 이를 노린 사이버 위협이 증가하고 글로벌 규제도 강화되는 상황에서 기업의 공급망 보안 강화는 선택이 아닌 필수”라며 “이번 지원사업을 통해 국내 기업의 공급망 보안 역량 강화를 적극 지원하겠다”고 말했다.