이동화 KISA 공급망안전정책팀장이 4일 서울 광화문에서 열린 ‘이슈앤톡’ 행사에서 ‘SBOM 기반 공급망 보안 모델 구축 성과’를 발표하고 있다. 사진=KISA
한국인터넷진흥원(KISA)은 4일 서울 광화문에서 열린 ‘이슈앤톡’ 행사에서 ‘SBOM 기반 공급망 보안 모델 구축 성과 및 시사점’을 발표했다.
SW 공급망 보안은 SW 제품에 들어가는 모든 구성요소의 위험을 관리하는 개념이다. 특히 오픈소스를 포함한 모든 SW 구성요소를 정리한 소프트웨어자재명세서(SBOM)는 취약점이 생겼을 때 바로 추적·조치할 수 있는 공급망 보안의 출발점이 된다.
KISA는 올해 ‘SW 공급망 보안 점검 지원 사업’을 통해 기술 지원을 수행한 115개 사례를 분석한 결과, 기업 제품에 사용된 오픈소스 구성요소(컴포넌트) 총 23만1774개 중 약 3.5%에서 보안 취약점이 확인됐다고 밝혔다. 실제 해킹에 악용될 수 있는 ‘고위험 취약점’도 0.49% 포함됐는데, 이는 약 1100개가량의 오픈소스 요소가 악성코드 원격 실행 등 잠재적 침투 경로가 될 수 있다는 의미다.
이동화 KISA 공급망안전정책팀장은 “개발자가 모르는 사이 포함되는 오픈소스가 너무 많고, 조치되지 않은 취약점이 그대로 쓰이는 경우가 빈번하다”고 지적했다.
KISA는 이러한 위험을 줄이기 위해 2023~2024년 실증 사업을 거쳐 올해 총 60억 원 규모 ‘공급망 보안 모델 구축 사업’을 추진, △SBOM 기반 위협 탐지·조치 체계 구축(40억 원) △SW 개발 기업 대상 공급망 보안 점검(20억 원)을 각각 지원했다. 이를 통해 공급망 보안 체계를 개발해 내재화한 기업 사례(에이아이스페라·인젠트·알체라)를 확보했다. 보안 점검 실증을 진행한 A사의 경우, 점검 전 5300개에 달했던 제품 내 잠재 취약점이 컨설팅과 보안 조치를 거쳐 89.6% 급감한 효과를 거두기도 했다.
美·EU 공급망 보안 규제 강화…KISA, 산업별 표준 만든다
이처럼 공급망 보안 관리가 중요한 이유는 SW 공급망 특성상 단 하나의 취약점이 전 세계 피해로 확산될 수 있기 때문이다.
대표적 사례가 2020년 ‘솔라윈즈’ 사태다. 솔라윈즈 네트워크 관리 SW가 해킹되면서 악성코드 포함 업데이트가 배포됐고, 이를 사용하던 미국 국무부 등 정부 기관과 대기업 1만8000곳이 줄줄이 피해를 입었다.
지난해 발생한 ‘마이크로소프트(MS)-크라우드스트라이크’ 장애 역시 공급망 리스크의 파괴력을 여실히 보여줬다. 크라우드스트라이크의 보안 패치 오류가 MS 윈도OS와 충돌하며 전 세계 항공·금융·방송 시스템이 동시다발적으로 멈춘 것이다.
이에 미국과 유럽은 SW 공급망 보안 규제를 강화하는 추세다. 미국은 행정명령을 통해 연방정부 납품 시 SBOM 제출을 의무화했으며, EU는 내년 9월부터 취약점 보고 의무와 더불어 2027년 12월 ‘사이버복원력법(CRA)’을 시행해 디지털 제품 전체 공급망 보안을 강제할 계획이다.
이는 국내 SW 기업의 글로벌 수출 경쟁력에도 큰 영향을 미칠 수 있다. SW 개발 기업 입장에선 국가마다 다른 규제를 모두 따라가는 데 어려움이 크다. 이에 KISA는 미국의 보안 소프트웨어 개발 프레임워크(SSDF), 식품의약국(FDA) 가이드라인, EU의 CRA 등 주요 규제 요구사항 118개를 정리한 ‘자가진단 체크리스트’를 개발해 배포할 예정이다.
이 팀장은 “글로벌 규제마다 요구 기준이 달라 기업들이 혼란스러워한다”며 “체크리스트를 통해 기업 스스로 준수 여부를 쉽게 확인하도록 지원할 것”이라고 말했다.
KISA는 내년에도 올해와 비슷한 수준의 예산을 유지해 의료·교통·금융 등 분야별 사례를 고도화하고, 산업별 특화 공급망 보안 표준을 마련한다는 계획이다.
이 팀장은 “산업마다 개발 환경과 공급망 구조가 다른 만큼, 분야별 프레임워크를 구축하는 것이 목표”라며 “우리 기업들이 강화되는 글로벌 규제에 유연하게 대응해 글로벌 경쟁력을 높일 수 있도록 실질적인 지원을 이어가겠다”고 강조했다.
