“취약점 조치 ‘7일→2일’ 단축”…KISA, SBOM 적용 범위 넓힌다 작성일 03-16 29 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="7FLPTcWICO"> <figure class="figure_frm origin_fig" contents-hash="f0e84d7a86c92f3aef047e62087c63d039665fbf3653c10e6815bc91f05a5456" dmcf-pid="z3oQykYCCs" dmcf-ptype="figure"> <p class="link_figure"><img alt="이동화 KISA AX공급망보안정책팀장이 지난 12일 이슈앤톡 행사에서 SBOM 기반 소프트웨어 공급망 보안체계 지원사업에 대해 발표하고 있다. [KISA 제공]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/16/dt/20260316110205832qsiq.jpg" data-org-width="640" dmcf-mid="u4sNpvu5TI" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/16/dt/20260316110205832qsiq.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 이동화 KISA AX공급망보안정책팀장이 지난 12일 이슈앤톡 행사에서 SBOM 기반 소프트웨어 공급망 보안체계 지원사업에 대해 발표하고 있다. [KISA 제공] </figcaption> </figure> <p contents-hash="9defddc82292f519247a43cb8a05688d3638cca679613924f6a5b8dbb894ff3f" dmcf-pid="q0gxWEGhWm" dmcf-ptype="general"><br> 한국인터넷진흥원(KISA)이 소프트웨어(SW) 공급망 보안 사업의 판을 키운다. 소프트웨어 구성 명세서(SBOM) 기반 체계를 밸류체인 전반으로 확대해 생태계 전반의 ‘약한 고리’를 끊어내고 이를 제도화하는 작업도 추진한다.</p> <p contents-hash="33f04163c0a11d333eec3a770df652456dc67329eb334a55f687500d023185fa" dmcf-pid="BpaMYDHlvr" dmcf-ptype="general">16일 KISA에 따르면 올해 SBOM을 활용한 공급망 보안 체계 지원사업 대상이 SW 개발·공급 기업에서 도입·운영 기업까지 확대된다. 40억원을 투입해 공급망 보안 관리체계와 모니터링 및 대응체계를 구축한다.</p> <p contents-hash="f740cf7736322ed01a019212f6861dcff2f62fef911b4a1acd75f86ea9edc92e" dmcf-pid="bhVUcxEoyw" dmcf-ptype="general">SBOM은 SW를 개발하는데 사용된 오픈소스와 서드파티 모듈 등의 구성요소를 상세히 기록한 SW의 ‘원재료 성분표’다.</p> <p contents-hash="d80da4b1b3bfdf986e70f43402706c590e1debed380691fa19fd3609f6633a34" dmcf-pid="KlfukMDgCD" dmcf-ptype="general">지난해 오픈소스를 직접 사용하는 개발기업 위주로 SBOM을 활용하는 기반을 마련했다면, 올해는 SW를 직접 판매하고 운영하는 기업까지 지원해 SW 밸류체인 전반에 SBOM을 적용한다는 방침이다.</p> <p contents-hash="45fd74459980ce44cc29a940d411a369fbf1ef2e3ccecd97d35eaaecd563f6f2" dmcf-pid="9S47ERwavE" dmcf-ptype="general">SBOM의 성과는 지난해 12월 위험도 최고점을 기록한 리액트 취약점 사태에서 드러났다. 지난해 시범 사업에 참여한 8개 기업을 대상으로 해당 취약점 포함 여부를 긴급 점검한 결과 기업들은 제품 내 리액트 취약점을 즉각 식별해 냈고, 조치 시간을 대폭 단축했다.</p> <p contents-hash="292658636b6d02e05c4de452f66f7dd45e9bfbb91f7f490c79d1a19645748433" dmcf-pid="2v8zDerNTk" dmcf-ptype="general">기존에는 다양한 오픈소스와 개발사 간 협력을 통해 만들어진 SW에서 취약점이 사용됐는지 조차 확인이 어려웠던 것과 대조된다.</p> <p contents-hash="6e880e062545494b7886b4b19800823f0f0466a3a959fcb26b931e48924ba25d" dmcf-pid="VT6qwdmjCc" dmcf-ptype="general">이동화 KISA AX공급망보안정책팀장은 “새로운 취약점이 발견되고 패치까지 평균 7일이 소요되던 시간이 SBOM 기반 체계를 구축한 이후 단 2일로 줄었다”며 “지난해 지원사업에 참여한 기업만을 대상으로 자체 조사한 결과지만, 분명히 의미 있는 성과”라고 설명했다.</p> <p contents-hash="89d312ac93f679ab39cc1ab871a06889933f7aeafd3f5699af0c3758eaa2cf3a" dmcf-pid="fyPBrJsATA" dmcf-ptype="general">아울러 KISA는 하나의 SW 개발에 참여하는 여러 협력 업체 간 개발환경 차이를 줄여 공급망 체인의 ‘약한 고리’를 없앤다는 방침이다. 지원이 필요한 중소기업에 전문 인력을 파견해 점검을 실시하고, 기업이 직접 방문해 소스코드를 점검할 수 있는 프로세스도 제공한다.</p> <p contents-hash="08e289bc00195b840e8dc0b82d77501626fe6c9bc9f44f86a5385cd27726dc82" dmcf-pid="4WQbmiOcvj" dmcf-ptype="general">다만 SBOM 체계 확산을 위한 구체적인 가이드라인과 제도적 기반 마련은 여전히 숙제로 남았다. 특히 수요 기업과 공급 기업 사이 SBOM 정보를 어디까지 공유해야 하는지에 대한 명확한 기준 마련이 시급하다는 지적이다.</p> <p contents-hash="04a23bf98d8db4d2bedb2c118ddbaa3a0c5ab05c5f661167aef63cf75ef5bd2b" dmcf-pid="8YxKsnIkWN" dmcf-ptype="general">또 미국은 이미 연방정부에 SW를 납품하는 기업이 의무적으로 SBOM을 제출하도록 하고, 유럽연합 역시 시장에 유통되는 디지털제품에 SBOM을 적용하고 있는 반면 우리나라는 여전히 초기 검증 단계에 머물러 있다.</p> <p contents-hash="85a808df32f218251f8a73a4f3961027cc77a3e86066fd08539d17e85553aa47" dmcf-pid="6GM9OLCETa" dmcf-ptype="general">이 팀장은 “SBOM 정보를 어떻게, 어디까지 공유할 것인지는 기술적‧정책적 표준이 뒷받침돼야 하는 핵심 이슈”라며 “현재 과학기술정보통신부, 국가정보원 등 관계 부처와 함께 ‘소프트웨어 공급망 보안 로드맵’에 산업계가 참고할 수 있는 공유 기준과 제도화 방안이 상세히 담길 예정”이라고 말했다.</p> <p contents-hash="7c5c9a76b6809d803500c55ab508db797f30b1c0ab6ea8f50469a820db4e033b" dmcf-pid="PHR2IohDyg" dmcf-ptype="general">김남석 기자 kns@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 "한곳 터지면 줄줄이 해킹"…정부가 SW 공급망 보안 대책 확대한 이유 03-16 다음 마이크로칩, 'TA101' 기반 트러스트 플랫폼 보안 서비스 확대 03-16 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
