한국인터넷진흥원(KISA)은 올해 총 40억원 규모의 'SBOM 기반 SW 공급망 보안 모델 구축 지원사업'을 추진한다. 2025년 첫 본사업 결과를 토대로 2026년에는 지원 범위를 기존 개발·공급 기업 중심에서 소프트웨어를 실제로 도입·운영하는 기업까지 확대했다.
SBOM은 소프트웨어에 포함된 오픈소스와 라이브러리, 외부 모듈 등 모든 구성요소를 정리한 목록이다. 제품에 어떤 소프트웨어 부품이 들어있는지 한눈에 파악할 수 있어 취약점이 발생했을 때 영향을 받는 시스템을 빠르게 찾아 대응할 수 있다.
이동화 KISA AX공급망보안정책팀장은 "미국 행정명령과 유럽 사이버복원력법 같은 글로벌 규제 환경에서 SBOM 기반 공급망 보안 체계는 사실상 필수 전제가 되고 있다"며 "SCA 도구와 서버·DB 같은 인프라 구축 비용만 지원하는 사업이 아니라 1년 프로젝트 동안 기업 안에 SBOM과 공급망 보안을 뿌리내릴 수 있도록 매뉴얼과 내부 지침까지 함께 만드는 데 초점을 두고 있다"고 설명했다.
KISA는 이러한 흐름에 대응해 2023~2024년 SBOM 개념과 기술 실증을 진행한 뒤 2025년부터 본격적인 지원사업을 시작했다. 지난해에는 교통 인프라, 금융, 제조 등 다양한 산업 분야의 개발·공급 기업을 대상으로 SBOM 생성과 취약 컴포넌트 분석 체계를 구축했다.
올해 사업은 예산과 과제 수는 지난해와 동일하게 유지하면서 지원 대상을 확대했다. 새롭게 도입된 2개 과제는 개발 기업과 제품을 실제 사용하는 기업이 컨소시엄을 구성해 개발–배포–운영 전 과정에서 SBOM 활용 모델을 구축하도록 설계됐다. 지원 규모는 최소 3억, 최대 5억으로 과제 유형에 따라 차등 적용된다. 기업 규모에 따라 중소기업 25%, 중견기업 30%, 대기업 50% 수준의 자부담이 적용된다.
SBOM 도입 효과는 실증 사업에서도 확인됐다. 지난해 리액트 취약점이 공개됐을 당시 KISA는 사업 참여 기업에 즉시 관련 정보를 전달하고 SBOM 기반 점검을 요청했다. 그 결과 일부 기업에서 해당 라이브러리가 실제 사용 중인 사실을 확인했고 패치·검증·배포까지 걸리는 시간이 기존 평균 7일에서 약 2일 수준으로 줄었다.
이동화 KISA AX공급망보안정책팀장이 '소프트웨어(SW) 공급망 보안 모델 구축' 지원사업을 설명하고 있다.
이 팀장은 "SBOM 체계가 없을 때는 제품 내부에 어떤 소프트웨어가 포함돼 있는지 찾는 데만 며칠이 걸리기도 했다"며 "SBOM을 활용하면 신규 취약점이 공개됐을 때 우리 제품이 영향을 받는지 즉시 확인할 수 있다"고 말했다.
KISA는 단순한 예산 지원을 넘어 기업 내부에 공급망 보안 체계를 정착시키는 데 초점을 두고 있다. 이를 위해 별도 용역을 통해 선정된 전문기업이 각 참여 기업에 기술 컨설턴트 형태로 투입돼 개발 환경 분석, 서버·DB 인프라 구축, SBOM 운영 정책 및 내부 지침 수립 등 과정을 지원한다. 기업 환경에 맞는 SBOM 생성·검증 도구 조합을 설계하는 방식으로 특정 벤더 솔루션 사용을 강제하지 않는 것이 특징이다.
SBOM 관리 수요가 커지면서 국내 기업들의 관련 기술 개발에 속도가 붙고 있다.
보안 기업 AI스페라는 지난해 실증사업에서 자사 공격표면관리(ASM) 및 위협 인텔리전스 플랫폼인 'Criminal IP(크리미널 IP)'에 SBOM 체계를 연계해 공급망 보안을 자동화된 운영 모델로 구현해 정부와 함께 SBOM 실증사업을 완료했다. 크리미널 IP에는 서비스에 포함된 모든 소프트웨어 구성 요소를 식별하고, 각 컴포넌트의 버전, 출처, 라이선스 정보를 관리할 수 있는 구조가 적용됐다.
이를 통해 외부에서 신규 취약점이 공개될 경우 해당 요소의 포함 여부와 영향 범위를 신속히 파악하고, 대응 우선순위를 설정할 수 있는 환경이 구축됐다. 또한 SBOM 기반 자동화 체계를 통해 소프트웨어 자산 관리, 변경 이력 추적, 취약점 대응 과정을 하나의 흐름으로 구조화했다.
휴네시온도 지난해 정부 지원사업에 선정돼 SBOM 기반 공급망 보안 통합 위험관리 체계를 구축했다. 자사 주력 제품인 망연계 솔루션 '아이원넷'에 SBOM 생성 및 관리체계를 내제화 한 것이 특징이다.
이외에도 스패로우는 소프트웨어 구성요소 분석(SCA) 기반 솔루션을 통해 오픈소스 취약점 분석과 SBOM 자동 생성 기능을 제공하고 있다. 쿤텍도 소프트웨어에 포함된 오픈소스 구성요소를 분석해 취약점과 라이선스 리스크를 관리하는 SBOM 기반 공급망 보안 솔루션 이지즈를 통해 공공과 금융, 기업 환경이 공급망 보안 관리와 규제 대응을 지원하고 있다.
국내 IoT 보안 전문기업 지엔(ZIEN)은 SBOM 기반 관리 플랫폼을 올해 상반기 중 출시 목표로 개발하고 있다. IoT 제품의 80% 이상이 오픈소스를 쓰는 경우가 많아 오픈소스 보안이 중요하다는 이유다.
업계에서는 SBOM 관리가 확대될수록 소프트웨어 구성 분석(SCA) 도구와 공급망 보안 관리 플랫폼 시장도 빠르게 성장할 것으로 보고 있다.
KISA는 향후 공급망 보안 관리 범위를 소프트웨어에서 하드웨어와 인공지능 분야까지 확대하는 방안도 검토하고 있다. 소프트웨어 SBOM을 넘어 하드웨어 구성 요소를 관리하는 HBOM(Hardware Bill of Materials), 인공지능 모델 구성 요소를 관리하는 AIBOM(AI Bill of Materials) 개념까지 확장해 대응한다는 계획이다.
이동화 팀장은 "공급망 보안은 한 번의 솔루션 도입으로 끝나는 문제가 아니라 개발과 운영 전반에 스며들어야 하는 과제"라며 "이번 사업이 국내 기업들이 글로벌 규제 환경 속에서도 안전하게 제품을 개발하고 공급할 수 있는 기반이 되길 바란다"고 말했다.
