“SBOM 기반 공급망 보안 내재화”… 정부, 지원 사업에 40억 투입 작성일 03-16 15 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">도입·운영 기업까지 범위 확대</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="WFFfLVgRMl"> <p contents-hash="4ad961c05a86b84e775148161eadf7626a18f5f1216de6668c7d12568a71f402" dmcf-pid="Y334ofaeLh" dmcf-ptype="general">소프트웨어(SW) 공급망 공격에 대응하기 위한 'SBOM(SW 자재명세서) 기반 SW 공급망 보안 모델 구축 지원 사업'이 올해도 40억원 규모로 추진된다.</p> <div contents-hash="ebda0a3b2226144250e3b841e09cdab51df8559418ecfda72a7e7b0df8fdfa28" dmcf-pid="G008g4NddC" dmcf-ptype="general"> 한국인터넷진흥원(KISA)은 2025년 첫 본사업 결과를 바탕으로, 2026년에는 개발·공급 기업을 넘어 도입·운영 기업까지 범위를 넓혀 SW 공급망 보안 내재화와 글로벌 규제 대응 역량을 높이겠다고 16일 밝혔다. </div> <figure class="figure_frm origin_fig" contents-hash="d6f5176982261e0de5b69ead36e4c25de137107301da97f09938983ee8512e15" data-idxno="438843" data-type="photo" dmcf-pid="Hpp6a8jJeI" dmcf-ptype="figure"> <p class="link_figure"><img alt="이동화 한국인터넷진흥원(KISA) AX공급망보안정책팀장 / 한국인터넷진흥원" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/16/552810-SDi8XcZ/20260316111942768bmre.jpg" data-org-width="1280" dmcf-mid="WJejlNvmR6" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/16/552810-SDi8XcZ/20260316111942768bmre.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 이동화 한국인터넷진흥원(KISA) AX공급망보안정책팀장 / 한국인터넷진흥원 </figcaption> </figure> <p contents-hash="5d0e69caa77a4e6f0bba6472ba3fbcb470a9a8690e5771117e7da303dd5d5962" dmcf-pid="XQQASjTsRO" dmcf-ptype="general"><strong>글로벌 규제 대응·국내 공급망 내재화 동시 겨냥</strong></p> <p contents-hash="88def762559f7f473ed47e06cdf154e328b5521e4d7d1966a9b77fe6e445c3b5" dmcf-pid="ZxxcvAyOes" dmcf-ptype="general">이동화 KISA AX공급망보안정책팀장은 "미국 솔라윈즈(SolarWinds) 사건 이후 제3자·오픈소스 구성요소가 실제 사회 인프라와 국민 안전에 직접 영향을 미치는 수준으로 문제가 커졌다"며 "이에 각국 정부가 'SW를 어떻게 안전하게 만들 것인가'를 정책 의제로 끌어올렸다"고 배경을 설명했다. 이어 그는 "미국 행정명령, EU 사이버 복원력법(CRA)처럼 우리 기업이 수출 시장에서 마주하게 될 규제에 대응하려면 SBOM을 활용한 공급망 보안 체계가 사실상 필수 전제가 되고 있다"고 덧붙였다.</p> <p contents-hash="6702af809e4325407048e8be4df4fe469bf4b2fe63a3d75d987e1977cff21293" dmcf-pid="5MMkTcWIdm" dmcf-ptype="general">이 같은 글로벌 보안 이슈에 대응해 KISA는 2023~2024년 SBOM 개념·기술 실증을 거친 뒤, 2025년부터 'SBOM 기반 SW 공급망 보안 모델 구축 지원' 사업을 본사업으로 전환해 40억원 규모 예산으로 8개 과제를 지원했다. 지난해에는 교통 인프라, 금융, 보안, 제조 등 다양한 산업 분야의 개발·공급 기업을 대상으로 SBOM 생성·분석을 통해 취약 컴포넌트를 조기 식별·조치하는 체계를 구축하고, 이를 '모델' 형태로 묶어 성과 공유회를 통해 공개했다.</p> <p contents-hash="f93ffd2d017f97f8bf07ef25f95ca6b1f4392f6d586c09b1c5c5586f36f1971c" dmcf-pid="1RREykYCdr" dmcf-ptype="general">이 팀장은 "예전에는 개발자가 저장소(Repository·리포지토리)에서 오픈소스를 바로 내려받아 개발 중인 코드에 붙이는 경우가 많았는데, 실증 사업을 통해 사내에 전담 점검자·점검팀을 두고 SBOM 생성이나 별도 검증을 거친 뒤 승인된 오픈소스만 사용하도록 프로세스를 바꾼 사례를 많이 만들었다"고 말했다. 이어 "추가 단계가 생겨 개발이 느려질 것이라는 우려와 달리, 제품 안정성을 체감한 기업들이 다른 제품군으로도 자체 확산하겠다는 의사를 밝힌 것이 의미 있는 변화였다"고 평가했다.</p> <p contents-hash="35c48fc2dff3c832adfd72134aa200e4ce99ab347d042d795c83ae7d41b693fb" dmcf-pid="teeDWEGhiw" dmcf-ptype="general"><strong>2026년, 6개 '개발·공급' + 2개 '도입·운영' 과제 지원</strong></p> <p contents-hash="15e307f882061c854c5101966b40ebb50c6c760d0188964ab31ccaeebbad210c" dmcf-pid="FddwYDHlnD" dmcf-ptype="general">올해 사업은 예산(40억원)과 총 과제 수(8개)는 전년과 동일한 수준으로 유지하지만, 지원 대상을 '개발·공급 기업'에서 '도입·운영 기업'까지 확대한 것이 핵심이다.</p> <p contents-hash="fd2f57491afd36b6c4d9285e5c157b7bfc88e73f9ee32d466fe5b154a06efcd1" dmcf-pid="377xAQkLME" dmcf-ptype="general">먼저 SBOM 기반 공급망 보안 관리체계를 구축하는 6개 과제는 글로벌 공급망 규제 대응, 공급망 보안 내재화, 취약점 관리 고도화를 추진하는 디지털 제품·서비스 개발·공급 기업을 대상으로 한다. 여기에 새로운 유형의 2개 과제는 디지털 제품·서비스를 실제로 도입·운영하는 기업까지 포함한다. 이는 개발사와 수요기업이 컨소시엄을 구성해 '개발–납품–도입–운영' 전주기에 걸친 SBOM 활용·관리 체계를 함께 설계·구축하도록 설계됐다.</p> <p contents-hash="e292851e6ceb41d55c89f158442c5d60a9ebff2c22cfb362649a6bb307b6c46d" dmcf-pid="0zzMcxEoek" dmcf-ptype="general">이 팀장은 "제품을 만드는 기업과 도입·운영하는 기업이 함께 참여해, 개발·패키징·배포·운영까지 전 과정에서 SBOM을 어떻게 활용할지 모델을 만드는 단계로 진입하게 된다"고 설명했다.</p> <p contents-hash="0ca38f8ade687e98d92b0c1d5933843103f2c8317f543308eba21abd7ba580f0" dmcf-pid="pqqRkMDgec" dmcf-ptype="general">예산은 6+2개로 나뉜 총 8개 과제를 차등 지원한다. 6개 '개발·공급' 과제에는 3억원씩, 도입·운영 기업까지 포함하는 2개 과제에는 5억원씩을 정부가 지원한다. 여기에 중소·중견·대기업으로 유형을 나눠 각 25%, 30%, 50% 수준의 자기부담금을 매칭 펀드 방식으로 부담한다.</p> <p contents-hash="fc8b423ab04bbee30f4a02012cd91facfce365500da3fef5fe1a2da4045cdf38" dmcf-pid="UBBeERwaiA" dmcf-ptype="general"><strong>공급망 위협 모니터링·대응 체계까지 포함… 리액트 취약점 사례 반영</strong></p> <p contents-hash="695ee7f5018f2ece54c1738d8b7d97e7672c886b6e30831389450a5e4bb6e095" dmcf-pid="ubbdDerNej" dmcf-ptype="general">올해 사업의 또 다른 변화점은 '공급망 위협 모니터링 및 대응 체계' 기능을 공식적으로 사업 범위에 포함했다는 점이다. KISA는 지난해 리액트(React) 신규 취약점(CVSS 10점)이 공개됐을 때, 사업에 참여한 8개 과제사에 즉시 관련 정보를 전달하고 SBOM을 활용해 영향 여부를 점검하도록 요청했다. 그 결과 일부 제품에서 해당 취약 컴포넌트가 실제로 사용 중인 사실을 확인했고, 패치·검증·배포까지 전체 대응 시간을 기존 평균 7일에서 2일 수준으로 단축한 경험을 축적했다.</p> <p contents-hash="e30b1453328108520199da1979867a8a039e81de3077ad6c51e311439a28a4f7" dmcf-pid="7KKJwdmjdN" dmcf-ptype="general">이 팀장은 "SBOM 기반 체계를 갖추기 전에는 '어디에 어떤 SW가 들어갔는지'를 찾는 데만 며칠씩 걸리기도 했다"며 "하지만 체계 구축 이후에는 신규 취약점 영향을 확인하고 대응하는 데 걸리는 시간을 눈에 띄게 줄일 수 있었다"고 말했다. 그러면서 그는 "올해는 이런 위협 모니터링·대응 프로세스를 사업 설계 단계부터 공식 절차로 포함해 참여 기업들이 실제로 '새 취약점이 나왔을 때 우리 제품이 영향을 받는지 바로 찾아볼 수 있는' 체계를 갖추도록 지원할 계획"이라고 덧붙였다.</p> <p contents-hash="3665704a788e581d434b8f9c1717736ccf4bff83365be97d01247976470d8769" dmcf-pid="z99irJsAea" dmcf-ptype="general"><strong>컨소시엄 구성·기술 지원으로 '현장형' 모델 지향</strong></p> <p contents-hash="778d2c0af4ae2a2b3c0a97abea73ac754a9ea96a6bfdca027e10bee1a014f266" dmcf-pid="qQQASjTseg" dmcf-ptype="general">2026년 SBOM 기반 SW 공급망 보안 사업은 개발·제조·공급·운영 등 공급망에 속해 있는 다양한 기업·기관과 SI 업체까지 폭넓게 컨소시엄을 구성할 수 있도록 문을 열어뒀다. SBOM 기반 공급망 보안 관리체계를 실제 구축할 주체(기업)가 주관기관이 되고, 그 체계를 함께 쓸 개발 협력사·운영사 등이 참여기관으로 들어가는 구조다. 주관기관은 하나의 컨소시엄에만 참여할 수 있지만, 참여기관은 여러 컨소시엄에 중복 참여할 수 있도록 해 현실적인 공급망 구조를 반영했다.</p> <p contents-hash="f58932fb4723bcfe5384ba0e3468e2fe515d0d1b6fa5240191b7da62926a4463" dmcf-pid="BxxcvAyOdo" dmcf-ptype="general">지원도 단순 예산 측면에만 그치지 않는다. KISA는 올해도 별도 용역으로 'SBOM 기반 공급망 보안 기술 지원'을 발주해 선정된 전문기업이 8개 과제사에 컨설턴트처럼 상주하며 개발 환경 분석, SCA(SW 구성요소 분석) 도구 선정, 서버·DB 인프라 구축, 내부 정책·지침 수립까지 전 과정을 밀착 지원하도록 할 계획이다.</p> <p contents-hash="e44c243580b72bf54e2f9ce3aeb4f2fc6c3ae84d8895ea1de7bc24fa9df779e8" dmcf-pid="bMMkTcWIJL" dmcf-ptype="general">이 팀장은 "SCA 도구와 서버·DB 같은 인프라 구축 비용만 지원하는 사업이 아니라 1년 프로젝트 동안 기업 안에 SBOM과 공급망 보안을 뿌리내릴 수 있도록 매뉴얼과 내부 지침까지 함께 만드는 데 초점을 두고 있다"고 말했다.</p> <p contents-hash="6f52a4d3d3b46b373b7a1d984525fa9e809a3a91da4ed092e2db73a5cf065f24" dmcf-pid="KRREykYCdn" dmcf-ptype="general">그러면서 그는 "SBOM 생성·검증 도구는 국산·외산, 무료·유료를 막론하고 기업 환경에 맞는 조합을 찾는 게 중요하다"며 "특정 벤더 솔루션 사용을 권장하지는 않고 계획서 검토·기술 컨설팅 과정에서 각 기업이 가장 잘 활용할 수 있는 도구 구성을 함께 설계하는 방식"이라고 설명했다.</p> <p contents-hash="4b91117db4072ce0a1c059faf0a3b01775fa7ad8ae71e0a2bcc1305cd45d0234" dmcf-pid="9eeDWEGhMi" dmcf-ptype="general"><strong>글로벌 규제·수출 요건 대응까지… "장비·펌웨어 기업도 대상"</strong></p> <p contents-hash="b98218139957d59ed11ba4907f55433369b6173d71d527fb0b5c84aac686613d" dmcf-pid="2ddwYDHliJ" dmcf-ptype="general">SBOM 활용을 통한 SW 공급망 보안 강화는 보안 업계 과제인 해외 진출에도 도움이 될 전망이다. KISA에 따르면 최근 SBOM 제출 요구는 순수 SW 벤더뿐 아니라 방송 장비처럼 펌웨어가 탑재된 각종 임베디드·하드웨어 제품까지 확산되고 있다. 이에 KISA는 SBOM에서 HBOM(하드웨어 자재명세서), AIBOM(인공지능 자재명세서)까지 개념을 넓혀 대응 범위를 확장할 계획이다.</p> <p contents-hash="e978f050f3a7538737ce126f5966b1aab5f4b4feaa24d46af5781d8f82aa2b6d" dmcf-pid="VLLOZs1yMd" dmcf-ptype="general">이번 지원 사업에 참여하면 개발 환경 분석과 SBOM 생성 도구 도입, 운영 체계 설계까지 패키지로 지원받을 수 있어 기업 입장에서는 글로벌 규제와 수출 요건을 중장기적으로 준비할 수 있는 기반을 마련할 수 있다. 지난해 이미 체계를 구축한 8개 과제사 역시 올해 별도 기술 지원 용역을 통해 추가 컨설팅을 받을 수 있도록 연속성을 확보했다.</p> <p contents-hash="0f5f527a6c19374f3ab8175aec1fbe46cafa2b4ba56aa26204a4bb5a0d2182c3" dmcf-pid="fooI5OtWRe" dmcf-ptype="general">올해 사업 공모는 지난 3월 10일 공고를 시작으로 4월 9일까지 한 달간 진행되며 평가·원가조사·계획서 재검토를 거쳐 5월 협약을 맺고 사업을 시작할 예정이다.</p> <p contents-hash="ab7497dce7e691bc84395550a538fe6e72bdd6772b556de4ff6156816d18ba6a" dmcf-pid="4ggC1IFYMR" dmcf-ptype="general">이동화 KISA AX공급망보안정책팀장은 "공급망 보안은 한 번의 솔루션 도입으로 끝나는 문제가 아니라 개발·운영 전반에 스며들어야 하는 과제"라며 "이번 사업이 우리 기업들이 글로벌 규제 환경 속에서도 안전하게 제품을 만들 수 있는 기반을 다지는 계기가 되길 바란다"고 말했다.</p> <p contents-hash="1888baa05bd83147268f6bf4506e9d6feba3968d49347e9b391c51e064a9d6ce" dmcf-pid="8aahtC3GeM" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p> 관련자료 이전 온라인 쇼핑몰 구축 경쟁 심화… 카이먼, 맞춤형 플랫폼 개발 역량 강화 03-16 다음 카톡 친구가 보낸 파일 눌렀더니…북한발 '지인 사칭' 피싱 포착 03-16 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
