정부, SW공급망 보안 가이드라인 1.0 발표

SW개발 생명주기에 따른 SBOM 구성방안. 과기정통부 제공

정부가 국산 소프트웨어(SW)에 대한 SW구성요소명세서(SBOM) 실증을 거쳐 SW공급망 보안 가이드라인을 내놨다. 갈수록 확산되는 SW공급망 보안위협과 관련 해외규제에 대한 대응 수준 향상으로 이어질 전망이다.

과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회는 민관 협력을 통해 'SW 공급망 보안 가이드라인 1.0'을 마련했다고 12일 밝혔다. 이들과 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호산업협회(KISIA) 등의 홈페이지를 통해 오는 13일 정오부터 다운로드 가능하다.

이번 가이드라인은 갈수록 심각해지는 사이버보안 위험과 미국·유럽 등 해외 주요국의 SBOM 제출 의무화 등에 대응, 정부·공공기관과 기업들이 자체적인 SW공급망 보안 관리역량을 갖추도록 지원하기 위해 마련됐다. 국산SW에 대한 SBOM 실증과 SW공급망 보안 테스트베드(판교) 시범운영 결과 등을 반영한, 세계적으로도 유례없는 실무 안내서다. 향후 미국 등 주요 국가와 협력해 해외에도 적극 소개할 계획이다. 가이드라인은 전체본(100여 페이지)과 요약본(16페이지)으로 제공된다. 정부·공공기관 정책결정자 및 기업 경영진 등은 요약본을 통해 보다 쉽고 빠르게 SW공급망 보안 관련 주요 내용을 이해할 수 있다.

국내 중소기업들은 SW공급망 보안 전문인력과 SBOM 생성도구 등 초기투자 부담으로 어려움을 겪어왔다. 이에 정부는 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW공급망보안 관리체계를 구축하고 기업 지원 서비스를 제공하고 있다.

특히, 가이드라인에는 SBOM 기반 SW공급망 보안 관리체계를 도입하는 과정에서 시행착오를 줄이도록 SBOM 유효성 검증, SW구성요소 관리 요령, SBOM 기반 SW공급망 보안 관리방안 등을 상세하게 수록했다. 정부는 가이드라인이 다양한 산업분야에서 활용될 수 있게 홍보하는 한편, 디지털플랫폼정부 주요 시스템 구축 시 SBOM을 시범 적용해 우수사례를 내놓으며 발전시켜 나갈 계획이다.

SBOM 도입 등 제도화는 필요하지만, 체계적인 준비 없이 진행할 경우 SW개발기간이 장기화되고 원가 상승요인으로 작용해 기업들에게 부담이 될 수 있다. 따라서 정부는 기업들에 대한 SBOM 적용 지원을 강화하면서 SW공급망보안 저변을 확대하고, 향후 주요국의 제도화 동향과 국내 산업 성숙도를 고려하며 점진적으로 제도화를 준비할 방침이다.

또한, 올 하반기에는 산·학·연 전문가들이 참여하는 범정부 합동TF를 구성해 논의한 후 'SW 공급망 보안 로드맵'을 마련할 예정이다.팽동현기자 dhp@dt.co.kr