SW '성분표'로 취약점 90%↓…KISA, SBOM 보안 구축 사업 추진

[아이뉴스24 윤소진 기자] 한국인터넷진흥원(KISA)은 소프트웨어 공급망 보안 강화를 위한 '소프트웨어 명세 목록(SBOM)' 기반 지원 사업을 추진한다. 급증하는 글로벌 공급망 공격과 해외 규제 강화에 대응하기 위한 조치다.

31일 KISA에 따르면 총 8개 과제, 과제당 최대 3억7500만원을 지원하는 'SBOM 기반 소프트웨어 공급망 보안 구축 지원사업'이 공모 중이다.

SBOM은 소프트웨어 구성요소를 투명하게 문서화한 것이다. 마치 식품의 성분표처럼 해당 소프트웨어에 포함된 모든 구성요소(오픈소스, 라이브러리, 서드파티 등)를 식별하고 목록화한 문서다. 이를 통해 잠재적 보안 취약점을 선제적으로 발견하고 조치할 수 있다.

이동화 KISA 공급망안전정책팀장은 "수년 전까지만해도 공급망이라는 단어가 제품 생산에 국한됐는데 디지털 대전환 시기를 맞아 소프트웨어쪽으로 확대되고 있다"며 "최근 대부분의 사이버 보안사고는 공급망 관련 사건이라해도 무방할 것"이라고 설명했다.

이처럼 날로 확대되는 공급망 보안사건에 대비하기 위해 미국, 유럽연합(EU) 등은 보안 요구 사항을 점차 강화하는 추세다.

미국은 정부에 납품되는 소프트웨어 개발·공급 기업에 '안전한 개발 증명(Self-Attestation)'을 요구하고 있다. 의료기기 FDA 인허가 시 SBOM 제출을 의무화했다. 자동차 분야에서는 중국·러시아 관련 커넥티드카 부품 수출규제를 2027년부터 시행한다.

EU는 2024년 12월 발효된 '사이버복원력법(CRA)'을 통해 직간접적으로 다른 DB나 네트워크에 연결될 수 있는 모든 하드웨어와 소프트웨어를 대상으로 SBOM 적용 등 사이버 보안 요구사항을 제시한다. 이 법은 2027년 전면 시행되지만 일부 요구사항은 내년부터 적용된다.

이 팀장은 "의료기기와 커넥티드카와 같은 특정 분야는 미국의 규제 강화 정책으로 인해 당장 수년 안에, 어떤 경우는 내년부터 준비를 해야 하는 상황"이라며 "유럽에 제품을 납품하고 있는데 클라이언트가 갑자기 CRA법을 적용해야 한다고 요청해 어떻게 해야 할지 모르겠다는 문의가 많이 들어오고 있다"고 말했다.

정부는 이에 '소프트웨어 공급망 보안 가이드라인'을 발표하고, 이번 지원사업을 통해 기업들의 실질적인 대응력을 높이기로 했다. 해외 수출 기업과 공공·의료·보안 등 공급망 위협 발생 시 파급력이 큰 분야를 집중 지원한다.

실제 KISA가 8개 기업을 대상으로 진행한 SBOM 실증사업 결과 SBOM 활용 후 취약점을 최대 89.6%까지 감소시킬 수 있었다.

지원사업은 크게 두 가지로 추진된다. 먼저 공급망 보안 관리체계 구축 지원사업은 개발·협력·고객사 등 공급망 라인 내 기업들이 SBOM을 활용해 제품을 안전하게 만들고 이용할 수 있는 환경을 구축하는 데 중점을 둔다. 이 분야는 글로벌 규제 대응(6개 과제)과 공급망 위협 대응(2개 과제)으로 나뉜다.

김성훈 KISA 책임연구원은 "8개 과제 외에도 간접적인 지원 방안을 모색하고 있다"며 "8개 과제에 지원했던 케이스들을 모델화하고 국내 적용 방안 매뉴얼을 제작할 예정"이라고 부연했다.

사업 신청은 4월 21일 오후 2시까지 KISA 전자계약시스템을 통해 가능하다.

소프트웨어 자체 보안성 진단과 공급망 보안 체계 진단으로 구성된 컨설팅도 제공한다. 판교 개발보안 허브에서 직접 진단을 받거나 KISA가 기업을 방문해 점검을 진행하는 방식으로 이뤄진다.

4월부터 신청할 수 있으며 진단 및 기술지원은 11월까지다. 신청기업의 소스코드 진단, 모의해킹, SBOM, 개발환경 등을 점검하고, 보완 대책을 마련하도록 전액 무료로 지원한다.

이 팀장은 "대국민 서비스에 대한 공급망 공격이 들어왔을 때 그 피해는 전체 국민에게 바로 넘어간다"며 "정책적으로 시급한 분야들을 계속 연구하고 타겟화된 사업들을 적극 추진하겠다"고 말했다.