정부, SW 공급망 보안 로드맵 24일 공개

한국정보보호학회 주최 워크숍서...이틀간 서울 양재 aT센터 5층서 열려

(지디넷코리아=방은주 기자)국가 차원의 소프트웨어(SW) 공급망보안 로드맵 윤곽이 처음으로 공개된다.

한국정보보호학회(회장 김호원)와 공급망보안연구회(위원장 이만희)는 오는 24~25일 서울 양재 aT센터 그랜드홀(5층)에서 '2026년도 공급망보안워크숍'을 개최한다.

이번 워크숍의 핵심은 과학기술정보통신부와 국가정보원이 공동으로 발표하는 ‘국가 공급망보안 로드맵’이다. 정부는 지난 2024년 ‘SW 공급망보안 가이드’ 발간으로 첫발을 뗀 이후, 오는 2027년 제도화를 목표로 로드맵 수립을 준비해 왔다.

이번 워크숍(24일 오후)에서 그 윤곽을 처음 공개한다. 국가 SW 도입제도 전반에 걸친 큰 변화의 신호탄이 될 전망이다. 양 기관의 공동 발표와 질의응답이 약 1시간 배정됐다. 정책 방향을 직접 확인하고 의견을 나눌 수 있다.

AI가 바꾸는 사이버 지형, 공급망보안이 핵심 대응

최근 ‘미토스’ ‘GPT-사이버’ 등으로 대표되는 AI 기반 취약점 분석 도구가 등장하면서, SW 취약점에 대한 체계적이고 신속한 대응은 선택이 아닌 필수가 됐다. 취약점이 쏟아지는 환경에서 SW를 생애 전주기에 걸쳐 지켜낼 수 있는 사실상 유일한 방법이 공급망보안이라는 것이 전문가들 진단이다.

특히 공급망보안은 개발단계에서 SW의 출처와 취약점을 검증하는 데 그치지 않는다. 도입·운영단계에서 발생하는 공급망 위험과 취약점까지 관리하는 것이야말로 AI로 빠르게 변화하는 사이버 지형에 대응하는 핵심이라는 점이 이번 워크숍 전반을 관통하는 메시지다.

국가·민간 보안 수장 경험한 신용석 CISO, 기조강연 맡아

기조강연은 신용석 토스페이먼츠 정보보호최고책임자(CISO)가 ’민간기업의 공급망보안 사례’를 주제로 한다. 신 CISO는 국가안보실 사이버안보비서관을 지냈다. 국가와 민간 양쪽에서 모두 보안 수장을 역임한 흔치 않은 이력을 갖췄다. 정책과 현장을 두루 경험한 시각에서 민간기업이 실제로 부딪히는 공급망보안 과제와 해법을 짚어줄 전망이다.

정책·AI·하드웨어 망라… 국내외 연사 총출동

이틀간 워크숍은 정책부터 AI·하드웨어 공급망보안까지 폭넓게 다룬다. 첫째 날(6.24) 은 LG전자가 오픈소스로 공개한 라이선스·공급망 관리 도구 ‘FOSSLight’ 튜토리얼(김경애 LG전자 연구위원)로 문을 연다. 자체적으로 공급망보안 관리 체계를 갖추려는 기업과 실무자에게 실질적인 도움이 될 전망이다.

이어 신용석 CISO 기조강연과 국가 공급망보안 로드맵 발표, ‘소프트웨어 개발 보안 제도’(박영수 KISA 책임), 올해부터 소프트웨어 등급제를 시행하는 일본의 SW 공급망보안 동향(Mizuki Kitajima 일본 경제산업성 부국장) 발표가 이어진다. 오후에는 AIBOM과 제로트러스트, 피지컬 AI, 글로벌 솔루션 기업 매니페스트(Manifest)의 사례 등 ‘AI 공급망보안’ 세션이 마련됐다.

둘째 날(6.25)은 ‘하드웨어 공급망 보안’ 세션으로 시작한다. SBOM 전도사로 알려진 전 CISA Senir Advisor인 알렌 프리드만(Allan Friedman)이 ’HBOM(하드웨어 BOM)의 미래’를 주제로 발표하며, 양자내성 기반 신뢰구조와 H-BOM 표준화 동향을 다룬다. 이어 산업별 공급망보안 강화 사례, SW 공급망보안 솔루션을 소개한다.

행사는 오프라인(현장)과 온라인(YouTube)으로 동시 진행한다. 오는 23일까지 한국정보보호학회 홈페이지에사 사전 등록을 받는다. 등록비는 일반 3만5천원, 학생 2만5000원이다. 행사 문의는 한국정보보호학회로, 프로그램 문의는 이만희 공급망보안연구회 위원장(한남대 교수)에게 하면 된다.

방은주 기자(ejbang@zdnet.co.kr)