"내년 SW공급망 절반 해킹 위험"…정부, 기업 위한 가이드라인 마련

美·유럽 SW 규제 강화에 대응
하반기에는 로드맵 내놓기로

전 세계적으로 소프트웨어(SW) 공급망 공격이 늘어나는 가운데 정부와 공공기관, 기업 등이 공격에 대응할 수 있도록 돕는 가이드라인이 나왔다.

과학기술정보통신부와 국가정보원, 디지털플랫폼정부위원회는 ‘SW 공급망 보안 가이드라인 1.0’을 마련했다고 12일 밝혔다.

SW 공급망 공격은 서비스 개발회사가 업데이트 파일을 배포하는 공급망을 이용해 시스템을 해킹하는 방식으로 이뤄진다. 개발사 시스템에 침투해 SW에 악성 코드를 심거나 취약점 패치·업데이트 과정에서 SW를 변조하는 형태가 있다. 2020년 12월 미국 정부 기관과 세계 각국 기업들이 내부 시스템에 설치한 솔라윈즈 네트워크 모니터링 SW를 통해 대규모 사이버 공격을 받은 사건이 대표적이다. 해커가 변조한 업데이트 파일을 내려받은 1만여 개 기업·기관이 손해를 봤다. 가트너는 내년까지 전 세계 조직의 45%가 SW 공급망 공격을 당할 것으로 전망했다.

이번 가이드라인은 SW 공급망 보안 위협뿐 아니라 미국, 유럽 등 해외 주요국의 SW 구성 요소 명세서(SBOM) 제출 의무화 등에 대처하기 위해 마련됐다. SBOM은 SW 운영체제, 구성 요소, 라이선스 정보 등을 담아 취약점을 미리 식별하고 보안 사고가 일어났을 때 어디에서 문제가 발생했는지 파악하는 데 쓰인다. 사이버 공격이 증가하면서 SBOM을 요구하는 발주처가 늘어나고 있다.

100여 쪽 분량의 가이드라인에는 국산 SW에 대한 SBOM 실증과 SW 공급망 보안 테스트베드 시범 운영 결과 등을 담았다. 특히 SBOM 유효성 검증, SW 구성 요소 관리 요령 등을 상세하게 수록했다. 정부는 기업이 SBOM을 도입하도록 지원하면서 디지털플랫폼정부 주요 시스템 구축 시 SBOM을 시범 적용할 예정이다. 하반기에는 산학연 전문가들이 참여하는 범정부 합동 태스크포스(TF)를 꾸려 ‘SW 공급망 보안 로드맵’을 내놓기로 했다.

이승우 기자 leeswoo@hankyung.com