과학기술정보통신부는 한국인터넷진흥원(KISA)과 소프트웨어(SW) 개발, 시험, 유통(패치포함), 운영 등 공급망 전단계에 걸쳐 제품･서비스의 투명성을 확보하고 체계적인 SW 공급망 보안 관리체계 마련을 위한 실증사업에 착수한다고 6월 27일 밝혔다.

이 사업은 최근 사이버보안 위협이 SW 공급망에 집중되고 있어서 이에 대한 체계적인 대응체계 수립 방안을 마련하는 한편 정보보안 전문인력 등이 부족한 중소기업들을 실질적으로 지원하기 위한 기반을 마련하기 위한 것이다.

SW공급망 보안 관리체계를 확보하기 위한 수단 중 하나로 SW 구성 명세서(SBOM)가 크게 주목 받고 있으며, 이 사업에서는 각 제품･서비스의 SBOM을 생성･분석해 보안 취약점을 발굴･조치하는 등 사이버보안 위협에 사전 대응하고, 침해사고 발생 시 즉각 조치, 중장기 대응 및 지속 모니터링 등의 보안 관리 체계를 수립하기 위한 다양한 실증을 추진한다.

과기정통부와 KISA는 사업의 결과를 기반으로 향후 SW 공급망 보안 관리 체계를 수립하는 한편 국내 SW 기업들이 해외 수출 시 SBOM 제출 의무화 등의 무역장벽을 극복할 수 있도록 SBOM 생성･분석, 보안조치 및 전문 컨설팅 체계를 마련할 계획이다.

이번 사업에는 국내 정보보호 전문기업인 ‘핀시큐리티’, ‘스패로우’, ‘레드펜소프트’가 참여해 국산 보안 솔루션, 업무용 SW 등을 대상으로 개발부터 운영에 이르는 전체 공급망 체계를 분석하고 공급망 전 단계에서 각 대상 SW에 대한 SBOM 생성, 보안 취약점 분석 및 조치, 보안 컨설팅 등을 제공한다. 

과기정통부는 이 사업의 실증 결과를 토대로 SBOM 기반의 보안 취약점 분석･조치, 개발･유통 환경의 보안대책을 포함하는 SW 공급망보안 가이드라인을 마련하는 등 국내 SW 기업들의 경쟁력 강화를 지원하기 위한 기반을 구축하고, 국민들이 안심하고 SW를 사용할 수 있는 환경을 만들어 갈 계획이다.

정창림 과기정통부 정보보호네트워크 정책관은 “최근 발생하는 공급망 보안 공격은 기업이 자체적으로 대응하기 어렵고 사회·경제적 피해도 커서  사전 대응체계 구축 등 SW 공급망 전체를 관리할 필요가 있다”며 “과기정통부는 실제 산업 현장에서 체감할 수 있는 실효성 있는 SW 공급망 보안 관리체계를 구축할 계획이며, 이를 위해 SW 공급, 유통 및 운영 기업들의 많은 참여와 관심으로 요청드린다”고 말했다.