공급망 보안 핵심 ‘S-BOM’ 확산 위한 민간 협의체 뜬다

자재목록 기반 취약점 DB구축
무결성 검증으로 수출장벽 해소
국내 실정 맞는 운영체계 수립
업계 낮은 인지도 개선 집중

S-BOM협의체 목적 및 활동계획

과학기술정보통신부와 한국소프트웨어산업협회(KOSA)가 소프트웨어(SW) 공급망 보안 핵심으로 떠오른 'SW 자재명세서(S-BOM)' 확산을 위한 민간 협의체를 띄운다. 협의체는 S-BOM의 중요도에 비해 낮은 인식을 개선하고 업계 중지를 모으는 역할을 맡는다.

KOSA는 S-BOM협의체 구성을 위한 참여 수요조사에 착수했다. 현재까지 총 10개사가 참여 의향을 밝혔으며, 이달 초 첫 간담회를 가질 예정이다.

S-BOM협의체는 국내 산업 맞춤 S-BOM 체계를 마련하는 한편 SW기업 간 교류 확대를 통해 공급망 보안을 강화한다는 목표를 세웠다. 구체적으로 국·내외 S-BOM 사례를 수집·분석하고 국내 실정에 맞는 운영체계를 수립한다. 협의체 회원사 간 정보교류는 물론 S-BOM 인지도 확산을 위한 홍보 활동도 벌인다.

KOSA 관계자는 “S-BOM 자체에 대한 인식이 낮아 SW 업계 내 인지도를 확산하고 국내 S-BOM 구축에 대한 논의가 주로 이뤄질 것”이라면서 “협의체를 운영하면서 지속적으로 회원사를 모집할 계획”이라고 말했다.

KOSA가 S-BOM 협의체 구성에 나선 건 정부 정책에 발을 맞추기 위해서다. 앞서 과기정통부는 지난 10월 제로 트러스트·공급망 보안 포럼을 발족하고 국내 실정에 맞는 정보보안 체계 구축에 나섰다. 현재 국내 정보보호 전문기업인 스패로우, 레드펜소프트, 핀시큐리티 등 3개 기업을 선정해 실증사업을 벌이고 있다. 과기정통부는 실증 결과를 바탕으로 S-BOM 기반 보안 취약점 분석·조치, 개발·유통 환경 보안 대책을 포함하는 SW공급망 보안 가이드라인을 마련할 방침이다.

궁극적으로 과기정통부는 S-BOM을 통해 SW 전 라이프사이클을 관리하는 공급망 보안 체계를 갖출 계획이다. 공급망 보안 체계는 △SW기업이 S-BOM을 통해 자재목록을 정의하고 △이를 바탕으로 SW 취약점에 대한 데이터베이스(DB)를 구축, △SW 무결성을 검증하는 게 골자다. 이를 위해 내년까지 S-BOM 통합관리 플랫폼을 마련하고, S-BOM 모니터링을 비롯해 취약점 분석, 보안컨설팅 및 기술지원 등을 수행한다.

특히 S-BOM 체계 구축은 중소기업 수출장벽을 제거하는 등 지원책이기도 하다. 2021년 바이든 미국 행정부의 'SW공급망 보안 강화' 행정명령을 시작으로, 유럽공동체·일본·미국 등이 앞다퉈 S-BOM 도입을 서두르고 있다.

과기정통부 관계자는 “S-BOM 체계 없이 향후 중소 SW기업의 수출이 어려울 수 있다는 우려가 커지면서 사업 논의가 시작됐다”며 “S-BOM 사업은 국가 차원에서 중소기업 SW공급망을 관리하고 지원하기 위한 것”이라고 말했다.

그러면서 “S-BOM은 기술이 핵심인 제로 트러스트와 달리 '문화'(Culture)가 중요해 개발(자) 보안이라고 할 수 있다”면서 “KOSA가 S-BOM협의체를 꾸리는 건 건전하고 좋은 접근”이라고 덧붙였다.

조재학 기자 2jh@etnews.com