article_right_top
소프트웨어 공급망을 겨냥한 사이버 공격 위험이 커지자 정부가 대응 체계 구축 사례를 정리한 실무 지침을 공개하며 산업 전반의 보안 수준 끌어올리기에 나섰다. 단일 취약점이 다수 기업으로 확산되는 구조적 위험에 대응하기 위한 조치다.
과학기술정보통신부는 한국인터넷진흥원과 함께 소프트웨어 자재명세서(SBOM)를 기반으로 한 공급망 보안 관리 사례를 정리한 자료를 발간한다고 밝혔다. 소프트웨어가 산업 전반의 핵심 인프라로 자리 잡으면서, 개발 과정에서 활용되는 오픈소스와 외부 라이브러리 등 다양한 구성 요소가 급격히 늘어나고 있다. 이에 따라 공급망 구조가 복잡해지고, 이를 노린 공격 역시 증가하는 추세다. 이러한 공격은 한 번의 침투로 다수 기업과 서비스에 영향을 줄 수 있어 파급력이 크다는 점에서 위험성이 높게 평가된다.
정부는 이러한 환경 변화에 대응하기 위해 지난해 관련 시범사업을 통해 기업 단위의 보안 관리 체계를 실제로 구축하는 작업을 진행했다. 이를 통해 다양한 산업 분야에서 소프트웨어 구성 요소를 체계적으로 관리하고, 취약점을 사전에 식별·조치할 수 있는 모델을 도출했다. 특히 외부 소스 도입부터 배포 이후 점검 단계까지 전 과정에 걸쳐 소프트웨어 자재명세서를 활용하는 공통 관리 방식이 마련됐으며, 국제 규제 대응을 위한 사례와 기업 간 안전한 정보 공유 모델도 함께 제시됐다. 일부 기업은 이를 기반으로 보안 취약점을 개선한 뒤 해외 사업 기회를 확보하는 성과를 내기도 했다.
이번 자료에는 기업이 자체적으로 활용할 수 있는 점검 기준도 포함됐다. 공급망 보안 수준을 점검할 수 있는 체크리스트와 함께, 자재명세서 작성 및 관리 방법이 실무적으로 정리돼 현장 적용성을 높였다는 평가다. 정부는 이러한 사례를 단순 참고 자료를 넘어 실질적인 가이드라인으로 활용하도록 한다는 계획이다. 관련 내용은 정보보호 학술 행사에서 공개되며, 온라인을 통해서도 확인할 수 있도록 제공된다.
과기정통부 임정규 정보보호네트워크정책관은 “소프트웨어·보안 기업이 공급망 보안 관리체계를 구축할 때 좋은 참고서가 될 것으로 기대한다”라면서, “정부는 앞으로도 소프트웨어 공급망 보안 강화를 지원함으로써 사이버 복원력 확보를 위한 전반적 보안 강화에 힘쓰겠다”라고 말했다.
-심해영기자
심해영기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
