내고향뉴스 김익성 기자 | 과학기술정보통신부는 한국인터넷진흥원(원장 이상중)과 함께 소프트웨어 자재명세서(SBOM) 기반 소프트웨어 공급망 보안 관리체계 구축 지원사업(40억)으로 도출된 보안 모델 사례집을 발간한다.

 

소프트웨어는 최근 디지털 기술의 일상화로 수요가 확대되고 있고 다양한 산업과 융합되며 사회 전반의 핵심인프라로 자리잡고 있다. 소프트웨어 개발 과정에서 공개 소프트웨어(오픈소스), 외부 라이브러리 등 다양한 구성요소의 활용이 증가하면서 소프트웨어 공급망은 점차 확대되고 복잡화되고 있으며, 이를 악용한 공급망 공격 역시 증가하는 추세이다. 특히, 소프트웨어 공급망 공격은 한 번의 공격으로 다수의 기업과 개인에게 큰 영향을 미칠 수 있어 기존 공격에 비해 위험성이 더 큰 상황이다.

 

앞서 말한 특징을 갖는 공급망 위협에 산업계의 효과적 대응을 위해 과기정통부와 한국인터넷진흥원(KISA)은 '25년 소프트웨어 자재명세서(SBOM) 기반 소프트웨어 공급망 보안 관리체계 구축 지원사업을 8개 기업에 대해 처음으로 진행했으며, 실제 기업 환경에서 소프트웨어 자재명세서(SBOM)를 활용하여 공급망 보안 관리체계를 구축하고 보안 취약점까지 기업 자체적으로 조치할 수 있게 하는 다양한 공급망 보안 모델과 주요성과 마련할 수 있었다.

 

동 사업을 통해 의료, 교통, 보안, 금융 등 다양한 산업군에서 외부 소스코드의 최초 도입부터 배포 후 점검(모니터링)까지 소프트웨어 자재명세서(SBOM)를 활용하여 관리하는 공급망 보안 공통 모델을 발굴했으며, 미국·유럽연합 등의 소프트웨어 자재명세서(SBOM) 및 공급망 보안 체계 구축 요구 등 국제 규제 대응 사례와(에스트래픽, 에이아이트릭스, 한드림넷) 기업의 소프트웨어 자산의 일종으로 볼 수 있는 소프트웨어 자재명세서(SBOM)를 안전하게 공유하고 수신할 수 있는 소프트웨어 자재명세서(SBOM) 공유 모델(휴네시온, 소만사), 시범사업으로 구축한 공급망 보안 공통 모델을 고도화하여 기업 안면인증 소프트웨어, 문서관리 소프트웨어 등 기업별 소프트웨어에 맞게 적용한 공급망 보안 내재화 사례(에이아이스페라, 인젠트, 알체라)를 발굴했다.

 

특히, 이번 지원사업은 단순히 재정적 지원에 그치지 않고 미국·유럽연합 등 주요국의 보안 요구사항 충족, 보안 취약점 조치 등을 위한 기술지원까지 함께 제공하여 소프트웨어 공급망 보안에 대한 기업들의 부담과 어려움을 최소화했으며, 실제로 해당 사업을 통해 취약점을 발굴하고 조치한 후 해외 기업과 납품 계약을 채결한 사례 또한 존재할 만큼 처음 수행한 사업임에도 많은 성과를 거둘 수 있었다.

 

아울러, 동 사업을 진행하면서 국제 규제에 대응하거나 공급망 보안 체계를 자체적으로 구축하고자 하는 기업이 참고할 수 있는 공급망 보안 자기진단 점검 목록(대조표)을 개발했으며, 소프트웨어 자재명세서(SBOM) 추출·관리 시 공급망 위험 관리 관점에서 실무 적용을 용이하게 하기 위해 소프트웨어 자재명세서(SBOM) 항목 구성 및 활용 방안에 대하여 정리했다.

 

앞서 발굴한 공급망 보안 모델 및 주요성과 사례집의 형태로 정리했으며, 동 사례집을 통해 기업이 자체적으로 혹은 과기정통부의 사업을 통해 공급망 보안 관리체계를 구축할 때 활용할 수 있도록 했다.

 

사례집은 4월 16일에 개최되는 정보통신망 정보 보호 학술회의(콘퍼런스)에서 발표될 예정이며, 한국인터넷진흥원 누리집에서도 상세 내용을 확인할 수 있다.

 

과기정통부 임정규 정보보호네트워크정책관은 “소프트웨어·보안 기업이 공급망 보안 관리체계를 구축할 때 좋은 참고서가 될 것으로 기대한다”라면서, “정부는 앞으로도 소프트웨어 공급망 보안 강화를 지원함으로써 사이버 복원력 확보를 위한 전반적 보안 강화에 힘쓰겠다”라고 말했다.