취약점 관리 못하면 공공사업 제동…'SW 보안' 책임 강화된다 작성일 06-25 48 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">정부, 'SW 공급망 보안 로드맵' 따라 법·제도 정비 시동</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="QhEotW0HSR"> <figure class="figure_frm origin_fig" contents-hash="d8a694ef47a1e0fc241f93e5acb998786046b532805e7c30c07ae8e0fe635834" dmcf-pid="xlDgFYpXSM" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/25/552796-pzfp7fF/20260625083609008ghjk.jpg" data-org-width="640" dmcf-mid="64rRYCXSSd" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/25/552796-pzfp7fF/20260625083609008ghjk.jpg" width="658"></p> </figure> <p contents-hash="de996d4989b6a7cae5cef2e7113b5d73828223c3f1e72efcc67f88bbe01162f6" dmcf-pid="y8qFgRjJSx" dmcf-ptype="general">[디지털데일리 김보민기자] 내년부터 중대한 보안 취약점이 발견된 소프트웨어(SW) 제품을 대상으로 공공 도입이 제한된다. SW 공급망을 노린 사이버 공격이 증가하면서 취약한 제품의 공공 부문 유입을 차단하고 보안 사고를 사전에 예방하기 위한 조치다.</p> <p contents-hash="8e4195828c35a10cf785e11c2d93e0df39daac0a498d7b739a4b95625ca9f11b" dmcf-pid="W6B3aeAiyQ" dmcf-ptype="general"><strong>◆ 국가안보와 직결된 '공급망 보안'…공공 정보화사업에 SBOM 제출</strong></p> <p contents-hash="39218f1477ada23bd26b971ce7c3eff152a652b9cb79836b608e856011902aca" dmcf-pid="YPb0NdcnCP" dmcf-ptype="general">25일 관련 업계에 따르면 과학기술정보통신부와 국가정보원은 전날 이 같은 내용을 담은 '인공지능(AI) 일상화 시대를 준비하는 SW 공급망 보안 로드맵'을 발표했다. 과기정통부와 국정원이 'SW 공급망 보안 태스크포스(TF)'를 발족한 이후 약 1년9개월 만의 성과다.</p> <p contents-hash="9dc5ed998932bc60e85d3f08a71dfd2b350de6f4ed2716e821cc5d92455b9158" dmcf-pid="GM2ucnDgv6" dmcf-ptype="general">정부는 안전하고 책임 있는 SW 공급망 보안 체계를 구축하자는 취지 하에 위협 예방, 위협 탐지 및 대응, 제도적 기반 조성 등 3개 영역에서 세부 추진 과제를 이행할 예정이다. 민간 과제는 과기정통부가, 공공 부문은 국정원이 주도하는 방향으로 추진된다.</p> <p contents-hash="40f8551f91eeacb6777caa22c5af83d0afe7231d9cb5302a72873fd8c260389d" dmcf-pid="HRV7kLwaW8" dmcf-ptype="general">이에 따라 내년부터 침해사고가 발생했거나 보안 취약점이 발견된 이후 후속 대응 조치를 이행하지 않은 기업과 SW 제품을 대상으로 공공 분야 도입 제재 조치가 강화된다. 국정원 담당관은 전날 서울 양재 aT센터에서 한국정보보호학회가 개최한 '공급망보안 워크숍'을 통해 "중대 취약점이 확인된 SW 제품에 보안 패치가 완료될 때까지 공공 조달을 일시 제한하는 등 대응 방안을 적용할 것"이라고 밝혔다.</p> <p contents-hash="22de3e9220f33cc84ec42d13efd30750bed5e018957194d97c2e2dad280edf96" dmcf-pid="XefzEorNl4" dmcf-ptype="general">정부는 내년부터 공공분야 정보시스템을 개발, 운영, 유지보수하는 전 과정에 대한 SW 공급망 보안 강화 방안을 단계적으로 마련한다. 그 일환으로 공공분야 정보화사업을 추진할 때, 보안 요구사항에 소프트웨어자재명세서(SBOM)를 제출하고 취약점 대응 절차를 도입해야 하는 조건을 더할 방침이다.</p> <p contents-hash="708ec49d839bd810e9dedbf1ccf1ed59298076d7fde614a99d9cacc4abf346c2" dmcf-pid="Zd4qDgmjSf" dmcf-ptype="general">공공 분야에 도입된 SW 제품과 구성 요소 정보를 다룰 SBOM 통합 관리 시스템도 구축한다. 국가 공공기관이 도입하는 SW 제품에 대해 SBOM 등록을 관리하고, 공급망 위협을 실시간 모니터링해 취약점을 각 기관에 공지하는 기능을 갖춘 시스템을 가동한다는 계획이다. 2028년부터는 국내에 유통되는 상용 및 공개 SW에 대한 취약점 정보를 실시간 수집하는 데이터베이스(DB)도 구축한다.</p> <p contents-hash="72c485edc9e04b98935b0d5fc208fe69db1c00b2c277aeb4871ae6c6eca7c520" dmcf-pid="5J8BwasASV" dmcf-ptype="general">자체적으로 안전한 개발 환경을 구축하기 어려운 소규모 SW 기업을 대상으로는 내년부터 개선 지원을 추진하고, 보안 전담 인력을 두기 어려운 기업에는 클라우드 기반 개발 환경을 보급하는 방안을 마련한다. 정부에 따르면 전체 SW 기업 중 81%는 10인 미만 사업장으로, 공급망 보안을 위한 전담 인력을 확보하기 어려운 실정이다.</p> <p contents-hash="1fe5adcb3be8f741d5568c6f820c4f61de67875c332955b4dd736a0199bfbb07" dmcf-pid="1i6brNOcv2" dmcf-ptype="general">국제 및 국가배후 해킹조직이 유통에 관여하거나, 해킹 사고가 발생할 가능성이 존재하는 일명 '위해제품'에 대응할 체계도 마련된다. 정부는 올해부터 검증 체계를 마련하고 '안보위해 평가 협의체'를 운영해 국제사회 제재를 받는 IT·ODM 제품에 대한 검증을 강화한다.</p> <p contents-hash="308a497a3cb44b48435168f1bf3860fa919f192e3cb60eea50e3e5dfd00adbc2" dmcf-pid="tnPKmjIkl9" dmcf-ptype="general">국정원 담당관은 "내년에는 개발 공급업체를 대상으로 취약점 존재 품목을 사용했는지 안보 위해성 여부를 확인할 필수 점검 항목 등 체크리스트를 개발해 보급할 것"이라며 "2028년부터는 외교, 안보, 국방 등 주요 기관에 제품을 납품할 때 체크리스트를 함께 제출하도록 하고 향후 단계적으로 확대할 예정"이라고 예고했다.</p> <div contents-hash="e75c3d0345313817a3e0a2ecba134887d99bddde630ad95202a774a254c0ea9e" dmcf-pid="FLQ9sACElK" dmcf-ptype="general"> 공급망 위험 관리 체계도 구축된다. 정부는 올해부터 민간 기업과 시설에 사용되는 SW 및 보안 제품의 고위험 취약점 여부에 대한 상시 관리체계를 도입할 계획이다. 2028년에는 SW 공급망 위험 수준을 진단하고 완화 조치를 지원하는 사업을 추진한다. 불법적으로 사용하는 SW·장비를 확인해 우선순위를 지정한 뒤 기술적 조치를 지원하는 방식이다. </div> <figure class="figure_frm origin_fig" contents-hash="dee2932a2a746e63fc54885173eb4cb891d5c7ae962e9b8e39a5bbf82764ca18" dmcf-pid="3ox2OchDWb" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/25/552796-pzfp7fF/20260625083610318ojjl.jpg" data-org-width="490" dmcf-mid="Px5TQ9RfTe" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/25/552796-pzfp7fF/20260625083610318ojjl.jpg" width="658"></p> </figure> <p contents-hash="8b2218946a400fd97afd7d8ca01d05755b9cff196d033c1ef0bfd777c4d8c4af" dmcf-pid="0CkL1y3GSB" dmcf-ptype="general"><strong>◆ "SW 공급망은 새 무역장벽"…법·제도 정비 본격화</strong></p> <p contents-hash="e062a8ad291e130bd96f44d16759dc7f6ec70ebec88d2b5aaba78797cd7ef947" dmcf-pid="phEotW0Hhq" dmcf-ptype="general">그간 국내에서 SW 공급망 보안에 대한 제재를 명시한 로드맵이 없었다는 점을 고려했을 때 주목할 만한 변화다.</p> <p contents-hash="6481fbdfecbc8758407109c69313474294c6179c1ce322b0dbbc3661da18dd4d" dmcf-pid="UlDgFYpXvz" dmcf-ptype="general">현재 미국과 유럽 등 주요국은 SW 공급망 보안 강화를 목표로 정책과 제도화를 추진하고 있다. 미국은 2023년 6월부터 SW 개발기업이 정부 납품 계약을 체결할 때 '안전성'을 증명하도록 하고 있고, 유럽연합(EU)은 사이버복원력법에 따라 제조, 수입, 판매 업체별로 공급망 보안을 규정하고 책임성을 부과하고 있다. 이들 국가에 SW 제품을 수출하고자 하는 기업들이 조건에 따라 소프트웨어자재명세서(SBOM)와 같은 조치를 준비하는 이유다.</p> <p contents-hash="9840249a6ba4e091e5c87e8603a63465fb3c8fc4dd02566317f06301063bd27e" dmcf-pid="uSwa3GUZv7" dmcf-ptype="general">정부는 이 같은 주요국 흐름에 발맞추지 않는다면 새로운 무역장벽이 실현될 수 있다고 진단했다. 이원규 과기정통부 정보보호산업과 사무관은 "주요국 제도는 향후 국내 SW 정보보호 기업에게 새 무역장벽으로 작용할 가능성이 크다"며 "실제 해외 진출 과정에서 SBOM 제출 요구와 공급망 보안 요건을 충족하지 못해 계약이 지연되거나 무산된 사례가 현장에서 발생하고 있다"고 말했다.</p> <p contents-hash="21a1d672061db305d5363234244b4281c760b20da594760a5513c5320079e895" dmcf-pid="7vrN0Hu5Wu" dmcf-ptype="general">대규모 보안 사고도 불가피할 것으로 전망했다. 이 사무관은 "현재 SW 공급망 환경에서는 공개·상용 라이브러리, 외주 개발, 제3자 협력 등 다양한 주체가 얽힌 분업 구조가 일반화됐고 개발자가 코드를 작성하는 시점부터 제품이 배포되고 업데이트되는 전 과정이 모두 공격 표면이 됐다"며 "해커들은 개별 시스템이나 네트워크가 아닌 SW 개발 공급 단계의 보안 허점을 노리는 공격을 가하고 있다"고 설명했다.</p> <p contents-hash="6f51f1583bf7712952f0dcc5058f7a9381744642b83acf312d1139792ddcd4a8" dmcf-pid="zTmjpX71hU" dmcf-ptype="general">이에 정부는 로드맵 실효성을 제고하기 위해 법 제도 정비를 본격화한다. 민간 분야에서는 내년부터 SW 공급망 보안관리 검증과 우수기업 확인서 발급을 시범운영한다. 정보보호관리체계(ISMS) 등 기존 인증 제도에 이를 반영해 정규 제도화도 추진한다.</p> <p contents-hash="5ffd4bb5d304abd377377fb1c2fb15d64c76396a3626fd7a8d823a6f40b48ac3" dmcf-pid="qysAUZztvp" dmcf-ptype="general">공공 분야에서는 SBOM 제출 및 SW 보안 취약점 관리 담당관 지정 등도 국가사이버보안지침에 반영된다. 정보통신제품을 도입, 운영하는 기관이 준수할 '공급망 사이버보안 위험관리 절차서'도 적용된다. 보안적합성 검증에 SW 공급망 보안 평가 기준을 세우고 '안전한 SW 개발 방법론' 준수 여부를 확인할 방안도 마련된다.</p> <p contents-hash="c080f0e3c2157715c22238ef865c0faf7b01e82e2650d82b374cf4956dd2361b" dmcf-pid="BWOcu5qFW0" dmcf-ptype="general">이 사무관은 "(앤트로픽이 공개한 차세대 AI 모델) 미토스와 같이 보안 취약점 발굴에 특화된 고성능 AI가 등장하고 있다"며 "이러한 모델이 인간의 취약점 발굴 능력을 뛰어넘는 성능을 보여주고 있는 만큼, 기존 공급망 보안 체계에도 근본적인 변화가 요구되고 있다"고 말했다. 이어 "현장에서 발생하는 SW 보안 문제에 대응하기 위해 이번 로드맵을 추진하고자 한다"고 부연했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 “생각만으로 외골격 로봇 제어” KAIST, 세계 최초 ‘뇌-로봇 인터페이스’ 개발 착수 06-25 다음 신네르, 알카라스 없는 윔블던서 2연패 도전…조코비치 추격 06-25 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.