과학기술정보통신부는 6월 1일 엘지전자 서초 캠퍼스에서 소프트웨어(SW) 공급망보안토론회(포럼) 위원 등이 참석하는 ‘소프트웨어(SW) 공급망 보안 추진을 위한 현장 간담회’를 개최했다고 밝혔다.

이날 행사는 해외 소프트웨어 공급망보안 동향과 함께 포스라이트(FOSSLight)를 기반으로 소프트웨어 공급망보안을 체계적으로 시행하고 있는 엘지전자의 사례를 공유했다. 국가적 차원에서 소프트웨어 공급망보안 체계 수립 및 향후 국내 중소기업이 해외시장 진출 시 현실화될 수 있는 소프트웨어 공급망보안 관련 무역장벽을 극복할 수 있도록 지원하는 방안에 대해 논의했다.  

소프트웨어 공급망은 소프트웨어 개발, 시험, 유통(패치 포함), 운영 전 과정을 말하며 로그포제이(Log4j), 솔라윈즈 등은 대표적인 소프트웨어 공급망 공격사례로 파급효과가 연쇄적이고, 지속적인 특성이 있어서 소프트웨어 공급망에 대한 보안 대책이 필요하다.

소프트웨어 공급망에 대한 사이버위협 증가는 최근 소프트웨어 개발과정에서 공개 소프트웨어 활용 비중이 높아졌고, 소프트웨어 개발･유통･운영이 전국적인 범위를 넘어 전 세계적으로 연결돼 사이버공격 효과성이 높은 것도 원인이 될 수 있다.

과기정통부는 지난해 10월 정부, 공공 및 민간의 전문가들이 참여하는 소프트웨어 공급망 보안토론회(포럼)를 발족하고 실효성 있는 소프트웨어 공급망보안 체계를 도입하기 위해 다양한 논의를 진행하고 있으며 이번 현장 간담회는 토론회(포럼)을 겸한 것이다.

소프트웨어 공급망보안은 소프트웨어 개발과정에서 포함되는 다양한 공개소프트웨어 목록 등 주요 구성품의 명세서인 에스봄(SBOM) 분석을 통해 소프트웨어에 포함된 보안 취약점을 발견할 수 있으며 소프트웨어 유통, 운영과정에서도 제공된 명세서(SBOM)에 대한 지속적인 분석을 통해 소프트웨어 보안성을 확보할 수 있다.

소프트웨어 명세서(SBOM) 분석을 통해 발견한 보안 취약점은 위험도 평가를 통해 고위험인 경우 즉각 조치, 중간 수준은 중장기 대책 강구, 저 수준은 현행유지(지속관찰) 등의 조치를 취하게 된다.

과기정통부는 소프트웨어 공급망보안 체계 구축을 위해 올해 보안 전문기업들이 참여하는 실증사업을 추진하고 있다. 이를 통해 본격적인 소프트웨어 공급망보안 체계 구축을 위해 세부계획을 검증하고 내년도 부터는 소프트웨어 공급망보안 관련 시스템 구축, 인력확보, 지원체계 정비 등 기반 구축을 위해 예산당국과 협의해 국회에 예산 편성을 요청할 계획이다.

이번 간담회는 소프트웨어 공급망보안 토론회(포럼) 위원, 소프트웨어 공급망보안 도입을 준비하는 기업 및 스패로우, 레드펜소프트 등 국내 소프트웨어 공급망보안 솔루션 전문기업에서 참여하였다.

첫 번째 주제는 최윤성 고려대학교 교수가 ▲소프트웨어 공급망 공격사례 ▲세계 각국의 소프트웨어 공급망보안 정책 동향 ▲국내 소프트웨어 공급망보안의 필요성에 대해 발표했다. 

두 번째 주제는 김경애 엘지전자 소프트웨어센터 연구위원이 ▲엘지전자의 소프트웨어 공급망보안 관리 현황 ▲소프트웨어 보안 취약점 발견 시 조치, 대응 과정을 공유하고, 포스라이트(FOSSLight)를 시연해보는 시간을 가졌다.

세 번째로 이익섭 한국인터넷진흥원 디지털안전단장은 ▲공급망 보안 소개 ▲국내 공급망 보안 추진 현황 ▲국내 소프트웨어 공급망 보안 추진 방향 ▲향후 계획에 대해 발표했다.

박윤규 과기정통부 제2차관은 “모바일, 사물인터넷, 인터넷 기반 자원공유(클라우드)의 확산과 함께 원격, 지사, 재택 근무 등이 일상화 보편화 되면서 기존 경계 중심 보안체계가 큰 도전을 받고 있다”며 “소프트웨어 개발, 유통, 운영 등 공급망 전반에 대한 보안체계를 수립하는 한편 국내 기업의 해외진출을 위한 무역장벽 극복도 적극 지원하겠다”고 말했다.