실시간 뉴스



SW 공급망 공격 '비상'…"내년까지 SBOM 통합관리 플랫폼 구축"


1일 LG전자 서초R&D캠퍼스서 과기정통부 '공급망보안 추진' 간담회
2024~2026년 공급망보안 기반 조성…"미국 등과 SBOM 상호인증도 고려"

[아이뉴스24 김혜경 기자] 정부가 하반기 실증사업 결과를 토대로 내년까지 '소프트웨어 자재명세서(SBOM) 통합관리 플랫폼'을 구축한다. SW공급망 공격이 디지털 인프라를 흔드는 위협으로 부상하면서 미국 정부가 SBOM 제출 의무화 등 대응에 나선 가운데 국내에서도 공급망보안 대책이 가시화될 전망이다.

1일 서울 서초구 LG전자 서초R&D캠퍼스에서 열린 간담회에서 이익섭 한국인터넷진흥원(KISA) 단장이 'SBOM 통합관리 플랫폼'에 대해 설명하고 있다. [사진=김혜경 기]
1일 서울 서초구 LG전자 서초R&D캠퍼스에서 열린 간담회에서 이익섭 한국인터넷진흥원(KISA) 단장이 'SBOM 통합관리 플랫폼'에 대해 설명하고 있다. [사진=김혜경 기]

이익섭 한국인터넷진흥원(KISA) 단장은 1일 서울 서초구 LG전자 서초R&D캠퍼스에서 열린 'SW 공급망보안 추진을 위한 현장 간담회'에서 "내년까지 통합관리 플랫폼 구축에 이어 2025~2026년 공급망 기술지원센터 구축 및 플랫폼 개선 등 기반을 조성할 것"이라며 "미국과 SBOM 상호인증을 고려하는 등 공급망보안 관련 국제 협력도 추진할 예정"이라고 말했다.

이 단장은 "해외 사례를 참조해 보안제품, 의료 등 기업에서 사용 빈도가 높고 파급효과가 큰 분야를 고려해 실증을 진행할 것"이라며 "SW 취약점 데이터베이스(DB)와 SBOM DB를 연계해 취약점을 실시간으로 탐지할 수 있는 시스템을 갖추는 것이 핵심"이라고 전했다.

SW 공급망이란 설계‧개발‧배포‧유지보수 전 과정에서 관여된 자원과 정보, 사람, 조직 등의 네트워크를 뜻한다. 공급망 공격은 수명 주기 전 단계에서 사이버 공격, 내부 위협 등을 통해 악성코드화 혹은 오작동을 일으키는 모든 행위다. 최근 북한 연계 해킹조직은 '3CX'라는 SW 취약점을 악용해 공급망 공격을 시도한 바 있다.

공급망보안 강화 대책으로 대두된 것이 SBOM이다. SW 패키지, 구성요소 등을 식별 가능한 형식으로 파악할 수 있도록 만든 명세서다. SW 구성 소스코드의 체계적 관리가 가능하므로 취약점 관련 보안 사고 발생 시 신속한 조치가 가능하다는 장점이 있다.

미국은 2021년 5월 SW 공급망 강화를 위해 '국가 사이버보안 개선에 관한 행정명령(EO 14028)'을 공표했고 지난해 9월에는 각 부처·기관을 대상으로 SW 개발 관련 공급망 보안 강화 지침을 내린 바 있다. 이 단장은 "행정명령 이후 공급망 위험 관리와 SBOM 자동화 등 공급망 보안 관련 기술 제품에 대한 관심이 늘어나고 있는 상황"이라고 말했다.

공급망보안포럼 정책‧산업 분과장을 맡고 있는 최윤성 고려대 교수는 "투명성과 보안성을 동시에 끌어올릴 수 있는 '투 트랙' 전략이 필요하다"며 "SBOM은 공급망 정보를 담고 있으므로 기밀성을 저해할 수 있다는 점도 염두에 두고 설계해야 한다"고 전했다.

김경애 LG전자 연구위원은 이날 자체 개발한 '포스라이트(FOSSLight)'라는 공급망보안 관리 프로그램을 시연했다. 포스라이트는 제품별 취약점을 정량화해 대시보드 형태로 가시화하고, 외부에서 가져온 SW가 어떤 제품에 쓰이고 있는지 보여준다. 정부에서 계획 중인 SBOM 통합관리 플랫폼은 이와 비슷한 형태가 될 것으로 보인다.

박윤규 과기정통부 제2차관은 "기존 경계 중심 보안체계가 큰 도전을 받고 있다"며 "SW 개발·유통·운영 등 공급망 전반에 대한 보안체계를 수립하고 국내 기업의 해외진출을 위한 무역장벽 극복도 적극 지원할 것"이라고 말했다.

박윤규 과기정통부 제2차관(왼쪽에서 네번째)이 1일 서울 서초구 LG전자 서초R&D캠퍼스에서 열린 간담회에서 발언하고 있다. [사진=과기정통부]
박윤규 과기정통부 제2차관(왼쪽에서 네번째)이 1일 서울 서초구 LG전자 서초R&D캠퍼스에서 열린 간담회에서 발언하고 있다. [사진=과기정통부]

/김혜경 기자(hkmind9000@inews24.com)








alert

댓글 쓰기 제목 SW 공급망 공격 '비상'…"내년까지 SBOM 통합관리 플랫폼 구축"

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스