소프트웨어 공급망 보안 가이드라인 1.0 발표
부제: 소프트웨어 공급망 보안 국제동향 및 소프트웨어 구성명세서(SBOM) 활용사례
- 국산 소프트웨어에 소프트웨어 구성명세서(SBOM) 실증결과를 반영한 가이드라인(지침) 마련
- 디지털플랫폼정부 시스템 등에 소프트웨어 공급망 보안을 시범적용하고, 중소기업 소프트웨어 공급망 보안 역량 강화 지원 확대
- 해외동향과 국내 준비상황을 면밀히 살피면서 제도화 준비
과학기술정보통신부(이하 ‘과기정통부’), 국가정보원(이하 ‘국정원’), 디지털플랫폼정부위원회(이하 ‘디플정위’)는 민관 협력을 통해 ‘SW 공급망 보안 가이드라인 1.0 (이하 ‘가이드라인’)’을 마련했다고 밝혔다. 가이드라인은 과기정통부, 국정원, 디플정위와 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호산업협회(KISIA) 등 정부·공공기관 홈페이지를 통해 받아 사용할 수 있다.
추진 배경
환경 변화
소프트웨어(SW) 개발, 공급(유통), 운영의 연결성이 증가하면서 생태계 참여 계층의 범위가 확장되고 있다. 모바일, 사물인터넷(IoT), 클라우드 등 디지털 제품 및 서비스 개발에서 외부 SW의 활용이 늘어나고 있으며, 정보통신기술(ICT)과의 상호 의존성도 증가하고 있다. 예를 들어, 공개 SW인 Log4j의 보안취약점을 악용한 사이버 공격은 웹 방화벽 등으로 방어할 수 있지만, Log4j가 어느 제품 또는 서비스에 사용되는지 정확히 파악하기 어려운 것이 큰 문제다.
주요국 정책 동향
미국은 2021년 행정명령(EO 14028)을 통해 연방정부에 납품되는 SW의 SBOM 제출을 의무화했다. 올해 3월 이를 보완하는 보안관리 자체증명서를 확정하여 본격 시행을 앞두고 있다. 유럽도 ‘사이버복원력법(Cyber Resilience Act)’을 제정 발의하고, 2026년 이후 시행을 준비하고 있다.
가이드라인 주요 내용
SW 공급망 위험 관리 방안
공급망 사이버보안 위험은 공급자, 공급망, 제품 및 서비스에서 발생할 수 있는 피해 가능성으로 정의되며, 각 참여자가 역할을 완수해야 SW 공급망 전체의 보안 위험을 관리할 수 있다.
- 개발사: SW 설계, 구현, 검증 등 개발단계에서 보안 활동을 통해 보안취약점을 최소화하고, 포함된 라이브러리와 빌드 및 배포 체계의 보안성을 확보해야 한다.
- 공급사: 보안 요구사항 충족 여부 확인, 타사 SW의 검증, 실행 파일 테스트를 통해 SW 제품의 보안을 검증하고, 취약점 발견 시 고객사에 알리고 대응해야 한다.
- 운영사: 보안 요구사항과 공급망 위험관리(SCRM) 요구사항을 정의하고, 그에 따라 SW 인수테스트를 진행하며, 제품 적용 및 생명주기 관리에 필요한 보안 및 공급망 위험관리 대책을 이행해야 한다.
SBOM 활용
SW 개발 시 공개 SW 등 외부 SW를 포함하는 경우가 많아 공급망이 복잡해지고, 악성코드 및 보안취약점 관리 필요성이 대두된다. SBOM을 활용하여 SW 구성요소를 안전하게 관리하고, SW 자산관리, 공개 SW 라이선스 및 보안취약점 관리를 할 수 있다.
- 개발사: 공개 SW 및 타사 SW 구성요소를 사용하여 제품을 만들 때 SBOM을 통해 해당 구성요소가 최신 버전인지 식별하고, 새로운 보안취약점에 신속하게 대응할 수 있다.
- 운영사: SBOM을 활용하여 새로 발견된 보안취약점이 잠재적 위험에 노출되어 있는지를 쉽게 확인하고 관리할 수 있다.
실증 사례
SBOM 기반 SW 공급망 보안 실증
국산 SW의 SBOM 생성・활용을 통해 SBOM 기반 SW 공급망 보안 관리 실증을 진행했다. 실증계획을 수립하고 SW 개발기업의 환경분석을 실시한 후, SBOM을 생성하고 유효성을 검증했다. 이를 기반으로 보안취약점 분석 및 기업의 공급망 보안 관리체계를 점검하였다.
- 실증대상: 의료, 보안 분야 SW 3종(소스코드, 바이너리)
- 실증도구: 개발・유통단계 지원 솔루션(1종), 운영・유지보수 단계 지원 솔루션(1종), 무료 SBOM 생성·점검 지원 도구(2종)
- 실증내용: SBOM 생성 및 검증, 보안취약점 탐지·조치, SW 개발기업 대상 공급망 보안 관리체계 점검 지원
SBOM 유효성 검증
SBOM 생성 시 일부 항목이 누락되거나 중복되는 현상을 제거하는 절차로 SW 개발자 참여가 필요하다. CycloneDX, SPDX 등 SBOM 표준에서 정한 기본항목 누락 여부 및 항목별 내용이 표준 요구 내용과 일치하는지 확인한다.
SBOM 기반 SW 공급망 보안 관리 요령
- 대상 SW 개발언어의 호환성, 도구의 분석 알고리즘, 기업의 공급망 특성 등을 확인하여 적합한 SBOM 도구 선정
- 소스코드 또는 바이너리 분석방식 선택은 기업의 환경에 맞게 하되, 2개 이상의 도구를 상호 보완적으로 활용 권장
- 공급망 각 단계별로 SBOM을 생성·공급할 수 있는 관리체계 구축 권고
- 보안취약점 탐지 성능을 높이기 위해 SBOM DB 구축, NVD(NIST의 보안취약점 데이터베이스) 등과 연동 체계구축 필요
- 보안취약점 탐지 시, 신속하게 개발자 및 고객사에 전파하여 조치계획을 수립하고, 적의 조치할 수 있는 체계 구축 필요
국내 준비 상황 및 지원 확대
국내 중소기업들은 SW 공급망 보안에 전문인력과 SBOM 생성 도구 등 전용시설이 부족하여 초기 투자에 부담을 느끼고 있다. 이를 해결하기 위해 정부는 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW 공급망 보안 관리체계를 구축하고 지원 서비스를 제공하고 있다.
해외와의 협력 및 제도화 준비
정부는 주요국의 SBOM 제도화 동향과 국내 산업 성숙도를 고려하여 점진적으로 제도화를 준비하고 있다. 올해 하반기에는 산·학·연 전문가들이 참여하는 범정부 합동TF를 구성하여 ‘SW 공급망 보안 로드맵’을 마련할 계획이다.
이번 가이드라인이 다양한 산업분야에서 활용될 수 있도록 홍보하며, 디지털플랫폼정부 주요시스템 구축 시 SBOM을 시범 적용하여 우수사례를 도출하고 발전시켜 나갈 계획이다. SBOM 도입의 필요성은 크지만 체계적인 준비가 없으면 SW 개발기간이 길어지고 원가 상승의 요인이 될 수 있다. 따라서 정부는 기업들에 대한 SBOM 적용 지원을 강화하고, 체계적으로 제도화를 준비해나갈 방침이다.