[서울경제]

과학기술정보통신부·국가정보원·디지털플랫폼정부위원회는 지난달 관계 부처 합동으로 ‘소프트웨어(SW) 공급망 보안 가이드라인 1.0’을 발표했다. 전 세계적으로 SW 공급망의 취약점을 악용한 공격이 증가하는 시점에서 우리 정부가 관계 부처 합동으로 가이드라인을 선제적으로 발표한 것은 매우 시의적절한 조치라 할 수 있다. 이는 국내 SW 및 정보 보호 산업의 안전성을 한 단계 높이는 중요한 계기가 될 것이다.

현대사회에서 SW는 사회 기반 시설, 경제, 금융, 의료 등 다양한 분야에서 핵심적인 역할을 담당하고 있다. 하지만 이에 대한 역작용으로 SW 공급망은 해커 공격의 주요 타깃이 되고 있다. 최근 SW는 유연성, 확장성, 비용 절감, 개발 속도 향상 등을 위해 외부 개발 비중이 높아지고 있다. 이 과정에서 SW를 구성하는 공급망의 어느 한 지점이 취약해지면 전체 시스템이 심각한 피해를 입을 수 있다.

대표적인 사례가 2020년 발생한 솔라윈즈 공급망 공격이다. 해커들은 솔라윈즈의 네트워크 관리 솔루션 ‘오리온’에 악성 코드를 삽입하는 방법으로 기업 네트워크에 침투해 큰 피해를 줬다. 미국 정부 기관과 주요 글로벌 기업을 포함해 1만 8000여 개 기업이 피해를 봤으며 그 여파가 현재까지도 지속되고 있다. 2021년 발견된 로그4J(Log4J)의 취약점은 많은 SW에서 사용되는 로깅 라이브러리에 존재하는 것으로, 원격 코드 실행이 가능하게 만들어져 전 세계적으로 큰 손실을 입혔다.

이에 미국과 유럽 등 주요국은 정부 차원에서 공급망 보안 강화를 위해 SW 구성 요소 명세서(SBOM)를 활용한 SW 신뢰성 및 취약점 관리, 보안 관리 자체 증명서(Self Attestation Form) 제출 등의 제도화·법제화를 추진 중이다.

우리 정부가 이번에 SW 공급망 보안 가이드라인을 발간한 것은 이 같은 세계적 흐름에 동참하기 위해서다. 가이드라인에는 글로벌 동향, SBOM 기반 SW 공급망 보안 위협 관리 방안, SBOM을 활용한 구체적인 SW 공급망 보안 실증 사례, SBOM 지원 시스템 구축 등 SW 공급망 보안 활성화 지원 방안이 있어 기업들이 실제로 실행 가능한 방안을 마련하는 데 큰 도움이 될 것으로 기대된다.

이번 가이드라인을 보면 해외 규제 속도와 국내 기업들의 준비 상황을 면밀히 분석한 후 규제 부담을 최소화해 자발적 참여를 유도한 것이 눈에 띈다. 다만 우려되는 것은 공급망 보안을 위해 SBOM 도구를 이용하는 기업들의 솔루션, 인력 활용 등 기술·관리 측면에서 상당한 비용이 든다는 점이다. 이에 기업들이 SBOM 도구를 원활히 사용하기 위한 기술적 지원과 안전한 개발부터 취약점 관리를 포함한 장기적 계획 및 정책이 필요해 보인다. 기업들도 정부의 이러한 노력에 발맞춰 가이드라인을 준수하고 지속적인 교육 및 홍보를 통해 이를 산업 전반에 확산하는 노력을 기울여야 할 것이다.

정부의 적극적인 정책 지원과 더불어 기업들의 협력이 이뤄진다면 우리는 보다 안전하고 신뢰할 수 있는 SW 공급망 환경을 구축할 수 있을 것이다.

서울경제

여론독자부([email protected])