과기정통부, 4장, 100페이지 분량 실무 안내서 보급
[애플경제 전윤미 기자] 과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’), 국가정보원(원장 조태용, 이하 ‘국정원’), 디지털플랫폼정부위원회(위원장 고진, 이하 ‘디플정위’)는 민관 협력을 통해 ‘SW 공급망 보안 가이드라인 1.0 (이하 ‘가이드라인’)’을 마련했다고 밝혔다.
이 가이드라인은 국산 SW에 대한 SBOM(Software Bills of Materials) 실증 및 SW 공급망 보안 테스트베드(판교) 시범 운영 결과 등을 반영한 실무 안내서다. 향후 미국 등 주요 국가와 협력을 통해 해외에도 적극 소개할 계획이다.
가이드라인은 전체본(100여 페이지)과 요약본(16 페이지)으로 제공되며, 정부·공공기관의 정책결정자 및 기업의 경영진 등은 요약본을 통해서 쉽고 빠르게 SW 공급망 보안에 관한 주요 내용을 이해할 수 있을 것으로 기대된다.
제1장은 ‘추진배경’은 우선 ‘환경변화’를 꼽고 있다. 즉, SW 개발-공급(유통)-운영의 연결성(Connectivity)으로 인해 생태계 참여 계층의 범위가 점점 확장되고 있다. 모바일, 사물인터넷(IoT), 클라우드 등 디지털 제품 및 서비스 개발, 공급(유통)에서 외부 SW의 활용이 늘어나고 있으며, 다양한 정보통신기술(ICT)과의 상호 의존성(Dependency)도 증가하고 있다. 공개 SW인 Log4j의 보안취약점을 악용한 사이버 공격(2021년)은 웹 방화벽 등 다양한 방법으로 방어할 수 있지만 이보다 더 큰 위험은 Log4j가 어느 제품 또는 서비스에 어떻게 사용되고 있지는 정확히 파악하기 어렵다는 데 있다.
주요국 정책동향도 밝히고 있다. 이에 따르면 미국은 2021년 5월 행정명령(EO 14028)을 통해 연방정부에 납품되는 SW의 SBOM 제출을 발표한 이후 올해 3월 이를 보완하는 보안관리 자체증명서(Self Attestation Form)를 확정하고, 본격 시행을 앞두고 있다. 유럽 또한 역내에 유통되는 디지털 제품 및 서비스의 보안 강화를 위해 ‘사이버복원력법(Cyber Resilience Act)’을 제정 발의하고(ˊ22.9월), 작년 12월 제정법안에 대해 EU 집행위원회(Commission), EU 의회(Parliament), EU 이사회(Council) 간 정치적으로 합의를 완료하였고, 올해 승인 절차를 거쳐 2026년 이후 시행될 전망이다.
제2장은 ‘SW 공급망 위험관리 방안’이다. 그 중 ‘공급망 참여자의 역할’의 경우 공급망 사이버보안 위험은 공급자, 공급망, 제품 및 서비스에서 발생할 수 있는 피해 가능성으로 정의할 수 있다. 개발사, 공급(유통)사, 운영사가 각자의 역할을 완수해야 SW 공급망 전체의 보안 위헙을 관리할 수 있다.
‘개발사’의 경우 SW의 설계, 구현, 검증 등 개발단계에서 보안 활동을 통해 보안취약점을 최소화해야 할 뿐만 아니라, SW에 포함된 라이브러리와 빌드 및 배포 체계의 보안성을 확보한다. ‘공급사’는 보안 요구사항 충족 여부 확인, 타사 SW의 검증, 실행 파일 테스트를 통해 SW 제품의 보안을 검증하고, 취약점을 발견했을 때는 고객(운영)사에 이를 알리고, 취약점에 대응한다.
‘운영사’는 보안 요구사항과 공급망 위험관리(SCRM) 요구사항을 정의하고, 그에 따라 SW 인수테스트를 진행하며, 제품 적용 및 생명주기 관리에 필요한 보안 및 공급망 위험관리 대책을 이행한다.
‘SBOM 활용’은 SW 개발 시에 공개 SW 등 외부 SW를 포함하여 개발하고 있어서 이에 따라 SW 공급망이 복잡해지고, 악성코드 및 보안취약점 관리에 대한 필요성이 대두되었다. SW 개발-공급(유통)-운영 등 공급망 각 단계에서 SBOM을 활용함으로써 SW 구성요소를 안전하게 관리할 수 있으며, SBOM을 활용하여 SW 자산관리, 공개 SW 라이선스 및 보안취약점 관리가 가능하다. 개발사 및 운영사적 측면에서 SBOM 활용의 장점은 아래와 같다.
‘개발사’는 공개 SW 및 타사 SW의 구성요소를 사용하여 제품을 만드는 경우가 많음. 이 경우 SW 개발 기업은 SBOM을 통해 해당 구성요소가 최신 버전인지 식별하고, 새로운 보안취약점에 신속하게 대응할 수 있다.
‘운영사’는 SBOM을 활용하여 새로 발견된 보안취약점이 잠재적 위험에 노출되어 있는지를 쉽고 빠르게 확인하고 관리할 수 있다.
‘이 밖에 제3장은 ’SBOM 기반 SW 공급망 보안 실증사례’의 실증개요, ‘SBOM 유효성 검증’,‘보안취약점 관’ 등이 있다. 제4장은 ‘SBOM 기반 SW 공급망 보안 활성화 지원’이다.
해당 가이드라인은 과기정통부, 국정원, 디플정위와 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호산업협회(KISIA) 등 정부·공공기관 홈페이지를 통해 2024년 5월 13일(월) 12:00부터 무료로 내려받아 사용할 수 있다.
가이드라인은 확산되고 있는 SW 공급망 사이버보안 위험과 미국, 유럽 등 해외 주요국의 SW 구성요소 명세서(SW Bill of Materials, SBOM) 제출 의무화 등에 대응하여 정부·공공 기관 및 기업들이 자체적인 SW 공급망 보안 관리역량을 갖출 수 있도록 지원하기 위해 마련되었다.
국내 중소기업들에게 SW 공급망 보안은 전문인력과 SBOM 생성 도구 등 전용시설을 갖춰야 하는 현실적인 어려움으로 초기 투자에 상당한 부담이 될 수밖에 없으나 피할 수 없는 숙제와 같은 것이다.
이와 같은 기업들의 애로사항을 해결하기 위해 정부는 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW 공급망 보안 관리체계를 구축하고 기업 지원 서비스를 제공하고 있다.