정부, 'SW 공급망 보안 가이드' 공개…"美·유럽 SW 구성요소 명세서 의무 대응"

과기정통부·국정원·디플정위 협력…"세계적 유례없는 실무 안내서"
국산 SW, SBOM 실증 결과 반영…하반기, SW 공급망 보안 로드맵 마련

[서울=뉴시스] 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회가 'SW 공급망 보안 가이드라인 1.0'을 발표했다. SBOM 기반 SW 공급망 보안 요약. (사진=과기정통부 제공) *재판매 및 DB 금지

[서울=뉴시스]심지혜 기자 = 정부가 소프트웨어(SW) 공급망 보안 가이드라인을 마련했다. 사이버보안 위험이 커지는 가운데 미국, 유럽 등 해외 주요국의 SW 구성요소 명세서(SBOM) 제출 의무화에 나서고 있어 정부·공공 기관 및 기업들이 적절하게 대응할 수 있도록 지원한다.

과학기술정보통신부는 국가정보원, 디지털플랫폼정부위원회와 'SW 공급망 보안 가이드라인 1.0'을 마련했다고 13일 밝혔다.

이번 가이드라인에는 국산 SW에 대한 SBOM 실증 및 SW 공급망 보안 테스트베드(판교) 시범 운영 결과 등이 반영됐다. 과기정통부는 세계적으로도 유례없는 실무 안내서라고 강조하며 향후 미국 등 주요 국가와 협력을 통해 해외에도 적극 소개한다는 계획이다.

가이드라인은 전체본(100여 페이지)과 요약본(16 페이지)으로 구성했다. 정부·공공 기관 및 기업들이 SBOM 기반 SW 공급망 보안 관리체계를 도입하는 과정에서 시행착오를 줄일 수 있도록 SBOM 유효성 검증, SW 구성요소 관리 요령 및 SBOM 기반 SW 공급망 보안 관리 방안 등의 내용을 수록했다.

국내 중소기업들에게 SW 공급망 보안은 전문인력과 SBOM 생성 도구 등 전용시설을 갖춰야 하는 현실적인 어려움으로 지목된다. 초기 투자에 상당한 부담이 되지만 피할 수 없는 숙제와 같은 것으로 여겨진다.

SBOM 도입 등의 제도화는 필요하지만 체계적인 준비 없이 제도를 성급하게 도입할 경우 SW 개발기간이 장기화되고, 원가 상승요인으로 작용하여 기업들의 부담 요인이 될 수 있다.

정부는 기업들의 애로사항을 해결하기 위해 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW 공급망 보안 관리체계를 구축하고 기업 지원 서비스를 제공하고 있다.

디지털플랫폼정부 주요시스템(DPG 허브 등) 구축 시 SBOM을 시범 적용해 우수사례를 도출하고 발전시켜 나갈 계획이다.

또 기업들에 대한 SBOM 적용 지원을 강화하면서 SW 공급망 보안 저변을 확대하고, 향후 주요국의 제도화 동향과 국내 산업 성숙도를 고려하며 점진적으로 제도화를 추진할 예정이다.

올해 하반기에는 산·학·연 전문가들이 참여하는 범정부 합동TF를 구성해 세부적인 정부지원 방안과 제도화 추진방향 등에 대해 논의 후 'SW 공급망 보안 로드맵'을 마련할 방침이다.

☞공감언론 뉴시스 siming@newsis.com