디지털타임스

 


"SW 공급망 공격 방어, 정보공유가 핵심"

프린트 페이스북 트위터 카카오스토리
공급망 보안 가이드라인 간담회
SBOM에 무역장벽우려 등 논의
무역 극복·투명성 확보책 마련
"SW 공급망 공격 방어, 정보공유가 핵심"
18일 서울 종로 국가과학기술자문회의 대회의실에서 열린 'SW 공급망 보안 가이드라인' 간담회에 참석한 정부, 유관기관, 민간 관계자들이 기념촬영하고 있다. 과기정통부 제공.

"처음 만들어진 SW(소프트웨어) 공급망 보안 가이드라인이 기업활동에 대한 규제가 아니라, 기업들이 국산 SW의 품질을 높이고 글로벌 경쟁력을 확보하는 기반이 될 수 있도록 중소기업 지원에 힘쓰겠다." (강도현 과기정통부 2차관)

"민간의 보안 이슈가 공공 영역에 영향을 미칠 수 있고 사회적인 문제로 퍼질 수 있다. 이는 곧 국가 안보와도 연결되는 만큼 산업계의 부담을 줄이면서도 사이버안보를 강화하는 공급망 보안 대책을 마련하겠다." (윤오준 국가정보원 제3차장)

SW 보안 취약점과 업데이트 구조를 악용해 시스템에 침투하는 이른바 SW 공급망 공격에 대한 우려가 고조되는 가운데, 정부가 민·관 협력을 바탕으로 'SW 공급망 보안 가이드라인'을 마련하고 18일 관련 간담회를 가졌다. 과기정통부, 국정원, 디지털플랫폼정부위원회, 한국인터넷진흥원(KISA)이 개최한 이날 간담회에서 참석자들은 AI(인공지능) 시대에 허술한 SW 공급망은 국가 전체를 위험에 빠트릴 수 있다는 인식을 함께 했다.

SW 공급망은 SW 제품이나 서비스를 개발하는 것부터 제공하고 관리하는 모든 프로세스에 관여되는 조직, 자원, 활동, 기술 등을 의미한다. 2020년부터 SW 보안 취약점을 악용한 공급망 공격이 계속 증가하면서 미국, 유럽 등 글로벌 주요 국가들은 이를 방어하기 위한 제도를 잇따라 내놓고 있다. 다만 이런 제도가 국내 기업들의 해외 수출에 '무역장벽'으로 작용할 우려도 나온다. 미국의 경우 연방정부에 SW를 납품할 때 SBOM(SW자재명세서) 제출을 의무화했다. 유럽에서는 사이버복원력 법안을 바탕으로 SBOM 등 구성요소를 문서화하는 것을 의무화하는 법안이 지난 3월 유럽 의회를 통과했다.

이날 간담회에서 최윤성 고려대 교수는 "SW 공급망 보안은 글로벌 이슈로, 작년 미국, 일본, 인도, 호주가 모여 각국이 체계를 구축하고 안전한 공동 비전을 실현하자는 원칙을 채택하자고 의견을 모았다"며 "SBOM은 개발자, 구매자, 공급자 간 정보 비대칭성을 해결해줘 취약점 문제가 발생했을 때 빠른 대응이 가능하다는 장점이 있다"고 설명했다.

SW 공급망 보안 가이드라인은 글로벌 흐름에 맞춰 과기정통부, 국정원, 디플정위, KISA 등이 토론과 조율을 거쳐 마련했다. SW 공급망 공격에 대응하고 공급망의 투명성을 확보하는 한편 SW 품질을 높이고 해외 무역장벽도 극복하도록 지원하는 것이 골자다. 정부·공공기관·기업의 의사결정자와 실무자들도 SW 공급망 보안의 개념을 쉽게 이해하고 활용할 수 있도록 제작했다.

가이드라인은 4개 장으로 구성됐으며 △디플정위 공급망 보안 정책방향 △국내 전문가들의 연구결과 △국산 SW에 대한 SBOM 실증 및 SW 공급망보안포럼 논의 결과 △SW 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과를 담았다.

최 교수는 SW공급망 보안에 대한 관심을 유도하기 위해 정부의 지원이 필요하다면서도 관련 규제는 제한적이어야 한다고 지적했다. "정부는 규제가 아니라 새로운 위기 발생 시 빠르게 조치하도록 지원하는 역할을 수행해야 한다"면서도 "기업의 지식재산권 침해가 발생하지 않도록 최소한의 지원 기능을 바탕으로 관여하는 것이 중요하다"고 밝혔다.

그는 "안전한 공급망은 정부, 민간, 공급자, 소비자 모두에게 중요하다. 특히 미국, EU, 일본 등 글로벌 SW 생태계에서 우리는 제3자"라며 "우리의 공급망 신뢰도를 높임으로써 경쟁력을 끌어올릴 수 있다. 결국 정보공유 체계를 얼마나 잘 구축하느냐가 관건"이라고 강조했다.

간담회에서는 SW 공급망 보안에서 SBOM의 중요성이 특히 강조됐다. 강병훈 KAIST 교수는 "원데이 공격에서 항상 해커들이 이겨왔다. 이들이 어떤 취약점을 악용해 공격하는지 파악하기 어려웠기 때문"이라며 "SW 구성요소를 상세하게 명시하고 모두가 동일하게 부르는 네이밍 시스템이 갖춰지면 더욱 빠르게 대응할 수 있다"고 말했다. 원데이 공격은 SW의 최신 취약점이 발견되고 이에 대한 패치가 적용되지 않은 상태에 공격하는 방식이다.

다만 모든 SW 구성요소를 상세히 설명하다 보니 기업의 기밀이 유출되는 상황이 발생할 가능성이 있다는 지적도 나왔다. 강병훈 교수는 "SW 구성요소를 알면 리버스 엔지니어링이 가능하다. 즉, 취약점을 관리하는 이상의 명세서를 공개하는 것은 바람직하지 않다"며 "재난안전 메시지 서비스와 같이 기밀을 유지하면서 전달하는 방안을 고민해야 할 것"이라고 밝혔다.

김영욱기자 wook95@dt.co.kr


[ 저작권자 ⓒ디지털타임스, 무단 전재 및 재배포 금지 ]