AI공격 막을 'SW 보안망' 꾸린다

정부, 선제대응 로드맵 공개
개발·공급부터 내재화 목표

정부가 AI(인공지능)를 활용한 사이버공격 확산에 대응하기 위해 SW(소프트웨어) 공급망 보안강화 로드맵을 마련했다. 개발단계부터 보안을 내재화하고 AI 기반 위협탐지 체계를 구축해 공급망 공격에 선제적으로 대응한다는 구상이다.

과학기술정보통신부와 국가정보원은 24일 서울 서초구 aT센터에서 열린 '2026 공급망 보안 워크숍'에서 'AI 일상화 시대를 준비하는 SW 공급망 보안 로드맵'을 공개했다. 정부는 우선 SW 개발·공급단계부터 보안을 내재화해 사고예방 역량을 높일 계획이다. 공급망 보안기준과 가이드라인을 마련하고 기업의 보안수준 점검과 안전한 개발환경 전환을 지원한다.

또한 SW 구성요소와 의존관계를 기록하는 SBOM(소프트웨어 자재명세서) 기반 공급망 보안관리 체계를 확산한다. SBOM은 SW에 포함된 오픈소스와 라이브러리 등 구성요소 정보를 기록한 '소프트웨어 부품목록'으로 취약점 발생시 영향을 받는 제품을 신속히 식별하는 데 활용된다. 정부는 AI 기반 공급망 보안 자동화 기술개발과 전문기업·인력 양성도 추진할 계획이다.

사고대응 체계도 강화한다. 취약점 신고포상제를 확대하고 취약점을 쉽게 신고할 수 있는 체계(VDP)와 신속한 보완·공개절차(CVD)를 마련해 공급망 보안 취약점 발굴과 대응역량을 높인다.

공공부문에서는 납품되는 정보통신제품의 안보위해 여부를 검증하는 방안을 검토한다. 민간과 공공분야별 공급망 위험관리 체계를 구축한 뒤 상호협력을 통해 위협확산을 차단할 계획이다.

정책·제도 정비도 병행한다. 정부는 범정부 SW 공급망 보안협의체를 구성, 민간 중심 공급망 보안포럼 운영을 지원한다. 공공·민간 보안제도에 공급망 보안요소를 반영하고 보안적합성제도 대상 제품과 요구사항도 확대할 예정이다.

해외진출을 지원하기 위해 주요 사이버보안 선도국과 협력체계를 강화하고 국내 인증제도의 국제 상호인정 확대도 추진한다.

이원규 과기정통부 정보보호산업과 사무관은 "과거에는 개별 시스템을 노리던 공격이 이제는 SW 개발·공급과정의 취약한 고리를 겨냥하는 공급망 공격으로 진화하고 있다"며 "과기정통부는 민간분야, 국정원은 공공분야의 공급망 전반에 대한 보안강화 계획을 수립해 단계적으로 추진할 예정"이라고 말했다.

국정원 관계자는 "중대한 취약점이 확인된 SW제품에 대해서는 공공조달 제한 등 제재방안도 검토하고 있다"며 "SBOM 기반 관리체계와 취약점 정보공유 시스템을 구축해 공급망 위협에 선제적으로 대응하겠다"고 밝혔다.

구자윤 기자 jykoo@mt.co.kr
[내 주식이 궁금할땐 머니투데이]