오픈소스 0.5%에 해킹 취약점…KISA “기업 SBOM 실증 지원 확대”

미국·EU, SBOM 제출 의무화
KISA, 규제 강화 속 기업 실증 및 보안 체계 구축 강화
향후 의료·금융 등 산업별 특성 반영해 보안 기준 마련

이동화 한국인터넷진흥원(KISA) 공급망안전정책팀장이 4일 KISA 주최 ‘이슈앤톡’ 행사에서 SBOM 기반 공급망 보안 모델 구축의 주요 성과에 대해 설명하고 있다. KISA 제공

소스 코드를 누구나 수정·배포할 수 있도록 공개한 오픈소스 소프트웨어(SW)를 점검한 결과 0.5%가량에서 실제 해킹에 악용될 수 있는 취약점이 발견됐다.

한국인터넷진흥원(KISA)은 7일 23만1000여개의 오픈소스 구성 요소를 분석한 결과 3.5%에서 악성코드 원격 실행, 민감 정보 노출 등에 악용될 수 있는 보안 취약점이 발견됐다고 밝혔다. 오픈소스 구성 요소 0.49%에서는 실제 해킹이나 분산 서비스 거부(DDoS) 공격에 쓰일 수 있는 고위험 취약점(KEV)이 확인됐다.

오픈소스 활용이 일상화되고 사이버 공격의 강도가 높아지자 미국, 유럽연합(EU) 등 주요국에서는 ‘소프트웨어 자재 명세서’(SBOM) 제출·관리를 의무화하는 등 소프트웨어 공급망 관리 지침을 강화하는 추세다.

국내 기업도 이를 충족할 수 있는 보안 체계 마련이 중요한 현안으로 떠오르고 있다. SBOM은 제조업의 자재명세서(BOM) 개념을 SW에 적용한 것으로, SBOM을 통해 SW의 구성요소를 식별하고 관리하는 데 쓰인다.

KISA는 기업을 대상으로 SBOM 실증을 지원하고, SBOM 기반 관리체계 구축과 취약점 진단·보안 지원을 한층 확대하며 국내 기업의 대비 역량을 강화하는 데 속도를 내고 있다.

KISA에 따르면 도널드 트럼프 미국 행정부는 지난 6월 행정명령을 통해 소프트웨어(SW) 공급망 투명성 확보라는 기존 정책 기조를 유지하도록 했다. 그러면서도 산업계 부담이 컸던 SBOM 제출·형식·검증에 대한 기계 판독 의무는 완화했다. 앞서 미국은 2021년 바이든 행정부의 행정명령(EO-14028)을 통해 연방정부 납품 소프트웨어에 SBOM 제출을 의무한 바 있다.

EU는 지난해 11월 ‘사이버 복원력 법안’(CRA)을 채택하며 EU 시장에 출시된 제품과 SW 안정성 확보 책임을 보다 명확히했다.

CRA는 다른 기기 또는 네트워크에 연결될 수 있는 모든 하드웨어·소프트웨어를 규제 대상으로 삼는다.

CRA는 2027년 12월 본격 시행되지만, 주요 의무는 단계적으로 앞당겨 적용된다. 2026년 6월까지 각국의 적합성 평가기관 지정이 이뤄지고, 9월부터는 EU에 수출한 제품에서 취약점이 발견되면 기업이 평가기관에 즉시 통보해야 한다.

KISA는 글로벌 규제 강화에 대응하기 위해 2023~2024년 총 8개 기업을 대상으로 SBOM 기반 공급망 보안 실증을 진행했다.

이 과정에서 개발자가 인지하지 못한 오픈소스가 제품 내부에 폭넓게 사용된 사례가 확인됐다. 취약점이 해결되지 않은 채 포함돼 있던 구성요소도 다수 발견됐다.

이동화 한국인터넷진흥원(KISA) 공급망안전정책팀장은 “올해 23만여개 오픈소스 컴포넌트를 분석한 결과 약 3.5%에서 취약점을 확인했고, 전체 약 0.49%는 고위험 취약점으로 확인돼 수정이 이뤄졌다”며 “다만, 실제 공격이 이뤄진 사례는 없다”고 밝혔다.

KISA는 공급망 보안 대상 산업군을 확대해나가면서 산업별 특성을 반영한 보안 체계 마련에 나설 계획이다. 이 팀장은 “의료·금융·AI 등 분야별 요구사항이 다르기 때문에 산업별 공급망 보안 기준을 단계적으로 마련할 예정”이라며 “기업이 설계부터 납품까지 모든 단계에서 위험을 확인하고 대응할 수 있도록 지원 체계를 강화하겠다”고 밝혔다.

이미선 기자 already@dt.co.kr