"SW 제품 구성 요소 기록한 명세 'SBOM'으로 제품 관리해야"
KISA, 공급망 보안모델 구축 지원·무료 진단 서비스 사업 추진

ⓒ News1 DB

(서울=뉴스1) 윤주영 기자 = 미국, 유럽연합(EU) 등이 디지털 제품의 소프트웨어(SW) 구성요소를 꼼꼼히 보겠다고 나서면서 국내 업체들에 무역 장벽이 생길 전망이다. 빠르게 적용될 분야로는 커넥티드카, 의료기기 등 SW 개발업체가 꼽힌다.

소프트웨어 제품의 구성 요소와 의존성을 기록한 '소프트웨어 자원 명세'(SBOM) 기반의 관리가 대비책으로 제시된다.

31일 이동화 한국인터넷진흥원(KISA) 공급망안전정책팀장은 인터뷰를 가지고 이같은 내용을 공유했다.

이 팀장은 "과거 제조업에서나 쓰이던 '공급망' 개념이 현재 SW 개발에 쓰이고 있다"며 "디지털 전환(DX)으로 사회 전 영역서 SW가 많이 쓰이는 데다, 서비스를 구성하는 SW가 복잡해졌기 때문"이라고 설명했다.

문제는 SW 구성요소에 취약점이 있어도 바로 파악이 어려워졌다는 점이다. 최근 공격은 단말을 탈취하는 악성코드를 공급망 내 숨기는 등 이런 맹점을 파고든다.

대표적 사례로 2021년 미국 보안업계에 큰 여파를 미친 'Log4j 취약점' 사태를 들 수 있다. 2022년 미국의 기업용 SW업체 솔라윈즈도 공급망 공격을 받아 고객사·미국 정부기관 등의 피해로 이어졌다.

이 팀장은 "공급망 공격은 초기 탐지가 어렵고 여파도 크다"며 "솔라윈즈 사태 이후 미국은 강력한 공급망 정책을 행정명령으로 발표했다"고 설명했다.

현재 미국 식품의약국(FDA)에선 의료기기 개발업체에 SBOM 제출을 의무화하는 것을 추진 중이다. 납품 기업은 시판 이후에도 최신 버전 패치 등 관리를 요구받게 된다.

커텍티드카 SW 규제는 중국·러시아 등 미국 적대국 중심으로 적용이 논의되고 있다. 하지만 우리나라도 문제가 될 만한 부분이 없는지 살펴야 한다.

EU도 2027년부터 네트워크 연결이 가능한 디지털 제품 대상 SBOM 등 다양한 보안 요건을 적용할 예정이다. 지난해 12월 발효된 '사이버복원력법'(CRA)에 따른 것이다.

KISA는 업계를 돕고자 지난해 5월 SBOM 기반 SW공급망 가이드라인 1.0을 발표했다. 또 8개 기업 제품에 SBOM을 적용해 보는 실증도 진행했다.

기관은 올해 'SBOM 기반 공급망 보안모델 구축지원 사업', 'SW 보안체계 진단 서비스' 2개 사업을 추진한다.

보안모델 구축은 안전한 공급망 관리에 필요한 기술, 데이터베이스(DB), 장비 등을 지원해 주는 내용이다. 과제당 최대 3억 7500만 원 정부 예산이 투입되며, 참여 기업도 일정 부분을 자부담해야 한다. 올해 4월 21일까지 접수받는다.

보안체계 진단 사업은 기업의 개발 환경상 취약점을 분석하고, SBOM을 생성해 주는 보안 컨설팅이다. 무료로 제공되며 11월 14일까지 KISA 보호나라 홈페이지에서 신청하면 된다.

이 팀장은 "개발환경 특성상 어쩔 수 없겠지만, 오픈소스를 많이 쓰는 점도 고민해야 한다"며 "취약점이 그대로 노출되기 때문에 개발진이 잘 파악해야 한다"고 강조했다.

legomaster@news1.kr

Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.