국정원·과기정통부, ICT 공급망 보안 가이드라인 마련한다

소프트웨어에 악성 코드 삽입하는 등
공급망 보안 위협 증가 추세
3월 중 보안 가이드라인 공개 예정

ICT 공급망 보안 가이드라인 가안 [출처 = 국정원]

국가정보원과 과학기술정보통신부가 정보통신기술(ICT) 분야의 공급망 공격의 대응하기 위한 ICT 공급망 보안 가이드라인을 마련한다고 8일 밝혔다.

공급망 공격은 해당 조직의 시스템에 접속할 수 있는 외부 공급업체나 서버, 소프트웨어 등을 통해 침투하는 사이버 공격의 일종이다.

국가안보실에서 지난 1일 발표한 국가사이버안보전략에 따르면 ICT 제품이 공공과 민간 영역에서 많이 사용되면서 공급망 보안 위협도 증가하고 있는 것으로 나타났다. 지난해 11월에는 북한 해킹조직이 금융 보안 인증 소프트웨어인 ‘MagicLine4NX’를 공격한 사례도 발생한 바 있다.

이에 따라 국정원과 과기정통부는 범국가 차원의 공급망 보안 강화 기조에 발맞춰 ICT 공급망 보안 가이드라인을 마련하고 3월 중에 공개한다는 계획이다.

그동안 ICT 제품별로 상이했던 소프트웨어 구성 요소 명세서(SBOM)를 세분화해 업계나 도입 기관들의 예측 가능성을 높인다. 또한 공급망 단계별 체크리스트를 마련해 업계, 기관들이 자체적으로 안전성을 확보하도록 지원할 예정이다.

국정원과 과기정통부는 “공급망 보안 분야에서 관계부처는 물론 민·학·연과도 지속적으로 협력하여 제도를 마련, 디지털 공간에서도 대한민국이 글로벌 중추 국가로 자리매김하도록 노력할 것”이라고 말했다.