정부가 정보보안 전문인력 등이 부족한 소프트웨어(SW) 중소기업을 대상으로 SW 공급망 보안 관리체계를 마련한다. 최근 SW 공급망에 집중된 사이버보안 위협을 막기 위해 체계적인 대응체계를 수립하겠다는 취지다.
과학기술정보통신부는 한국인터넷진흥원(KISA)과 SW 서비스의 투명성을 확보하고 체계적인 공급망 보안 관리체계를 마련하기 위한 실증사업을 시작한다고 27일 밝혔다. SW 개발, 시험, 유통(패치포함), 운영 등 공급망 모든 단계에 걸쳐 제품·서비스의 투명성을 확보하기 위해 SW 공급망 보안체계를 구축하는게 핵심이다.
SW 공급망 보안 관리체계를 확보하기 위한 수단 중 하나로 SW 구성 명세서(SBOM, SW Bill of Materials)가 주목받고 있는데, 이번 사업에서는 제품·서비스의 SW 구성 명세서를 생성·분석해 보안 취약점을 발굴·조치한다. 이어 침해사고 발생 시 즉각 조치, 중장기 대응과 지속 모니터링 등 보안 관리체계를 수립하기 위해 다양한 실증을 추진한다.
실증사업에는 국내 정보보호 전문기업인 핀시큐리티, 스패로우, 레드펜소프트 등이 참여해 국산 보안 솔루션, 업무용 SW 등을 대상으로 개발부터 운영에 이르는 전체 공급망 체계를 분석한다. 동시에 공급망에서 각 대상 SW에 대한 SW 구성 명세서 생성, 보안 취약점 분석 및 조치, 보안 컨설팅 등을 제공한다.
과기정통부는 사업결과를 토대로 향후 SW 공급망 보안 관리체계를 수립하는 한편, 국내 SW 기업들이 수출 시 SBOM 제출 의무화 등 무역장벽을 극복할 수 있도록 SBOM 생성·분석, 보안 조치와 전문 컨설팅 체계를 마련할 계획이다.
아울러 실증사업을 통해 확보한 기업 제품·서비스 등의 분석 데이터는 비식별 보안 처리해 향후 SW 공급망 보안 관리체계를 구축하기 위한 기초 데이터로 활용되며, 기업으로부터 협조를 받은 원천 정보는 실증 후 파기 또는 반환 조치할 방침이다.
정창림 과기정통부 정보보호네트워크 정책관은 “최근 발생하는 공급망 보안 공격은 기업이 자체적으로 대응하기 어렵고 사회·경제적 피해도 커서 SW 공급망 전체를 관리할 필요가 있다”며, “산업 현장에서 체감할 수 있는 실효성 있는 SW 공급망 보안 관리체계를 구축하겠다”고 했다. 중기이코노미 신지아 기자
<저작권자 ⓒ 중기이코노미. 무단전재 및 재배포 금지>