납품부터 업데이트까지 뚫린다…SW공급망 보안 강화 나선 KISA

“SW공급망 위협, 산업 생태계 흔든다”
SW개발 초기부터 ‘안전설계’ 요구 커져

이동화 KISA 공급망안전정책팀장이 지난 27일 열린 행사에서 발언을 하고 있다. KISA 제공

디지털 전환이 가속화되면서 사이버공격 수법도 교묘해지고 있다. 과거처럼 시스템 자체를 정면으로 공격하기보다 신뢰받는 외부 솔루션이나 오픈소스를 노려 우회 침투하는 방식이 늘고 있다. 탐지가 까다로운 데다 한 번 뚫리면 생태계 전체에 영향을 미칠 수 있어 파장이 크다.

31일 한국인터넷진흥원(KISA)에 따르면 최근 몇 년 사이 글로벌 보안위협의 60% 이상이 공급망을 경유해 발생한 것으로 분석됐다. 사이버공격의 진입 경로가 내부가 아닌 외부 협력사와 소프트웨어(SW)로 옮겨가면서 기업 보안의 새로운 취약지점으로 공급망이 부상하고 있다.

대다수 기업은 이미 외부 오픈소스나 협력사의 솔루션을 기반으로 제품과 서비스를 개발하고 있다. SW 구성요소가 다양해질수록 전체 구조는 복잡해지고 보안 사각지대도 함께 넓어진다. 특히 문제는 취약한 코드 자체보다도 신뢰를 무기로 한 교묘한 침투에 있다. 정상처럼 보이는 코드 안에 악성 기능이 숨겨진 채 배포되고, 이를 아무 의심 없이 받아들인 기업은 순식간에 해킹 피해를 입게 된다.

이동화 KISA 공급망안전정책팀장은 "SW공급망을 노리는 공격은 단일 기업만의 문제로 끝나지 않는다"며 "하나의 기업이 당하면 연결된 협력사까지 일거에 영향을 받는 구조이므로 공급망 전체를 아우르는 보안체계 마련이 필수적"이라고 당부했다.

이에 KISA는 공급망 위협에 대응하기 위한 핵심 수단으로 SW자재명세서(SBOM) 기반 보안모델 구축을 지원하고 있다. SBOM은 제조업의 자재명세서 개념을 SW 개발에 적용한 것으로, 프로그램을 구성하는 오픈소스·라이브러리 등 모든 구성요소를 식별·관리할 수 있도록 한다.

SBOM은 각국 보안정책에도 이미 반영되고 있다. 미국과 유럽연합(EU)을 비롯한 주요국들은 민감 분야 SW에 대해 SBOM 제출을 의무화하고 있으며, 국내 기업들에는 새로운 비관세 장벽으로 작용할 가능성이 높아지고 있다. 이 팀장은 "각국의 SW 보안 기준이 높아지면서 SBOM이 수출 요건으로 등장하고 있다"며 "국내 기업들이 글로벌 경쟁력을 확보하려면 SBOM 활용 역량을 갖추는 것이 시급하다"고 말했다.

KISA는 이를 위해 올해 총 8개 과제를 선정해 과제당 최대 3억7500만원을 지원한다. 개발사, 운영사, 시스템통합(SI)기업 등 다양한 주체들이 컨소시엄을 구성해 사업에 참여할 수 있으며, 특히 제품·서비스의 기획부터 운영 단계까지 전주기적인 보안체계를 적용할 수 있도록 유도할 계획이다.

이 팀장은 "지금까지는 기능과 성능 중심의 개발이 우선이었지만, 앞으로는 보안이 곧 경쟁력"이라며 "앞으로 SBOM 보안모델이 국내 디지털 산업 전반에 확산되도록 정책적 지원을 아끼지 않겠다"고 강조했다.

유진아기자 gnyu4@dt.co.kr