과학기술정보통신부가 국가정보원·디지털플랫폼정부위원회와 공동으로 마련한 'SW(소프트웨어) 공급망 보안 가이드라인 1.0'을 오는 13일 정오부터 배포한다고 12일 밝혔다. 배포처는 과기정통부·국정원·디플정위·한국인터넷진흥원(KISA)·정보통신산업진흥원(NIPA)·한국정보보호산업협회(KISIA) 등의 홈페이지다.
SW(소프트웨어) 공급망은 SW의 개발·유통·운영·패치와 이에 관여하는 사람·장비·시스템을 아우르는 용어다. 새 SW를 개발하는 과정엔 기존 SW를 부속으로 활용하는 경우가 잦은데, 최근 정보보호 업계에선 일부 부속 SW의 보안취약점이나 악성코드가 다른 SW까지 확산된 사례가 잇따라 보고됐다.
미국·유럽 등 주요국에선 SBOM(SW자재명세서) 등에 기반한 SW 공급망 보안을 의무화하고 있다. 특정 부속 SW에 보안취약점이 발생하면 미리 작성한 SBOM으로 영향을 쉽게 파악하고 피해를 최소화한다는 취지다. 정부는 이 같은 추세에 맞춰 국내 공공기관·기업들이 SW 공급망 관리역량을 자체적으로 갖추도록 지원한다며 가이드라인을 제작했다.
과기정통부는 가이드라인에 대해 "국산 SW에 대한 SBOM 실증과 판교 테스트베드 시범운영 결과 등을 반영한 것"이라며 "미국 등 주요국과 협력해 해외에도 적극 소개할 계획"이라고 밝혔다. 이어 "시행착오를 줄일 수 있도록 SBOM 유효성 검증, SW 구성요소 관리요령과 SBOM 기반 SW 공급망 보안 관리방안 등을 상세하게 수록했다"며 "정책결정자나 경영진 등은 요약본(16페이지)으로 쉽고 빠르게 주요내용을 이해할 수 있을 것"이라고 설명했다.
정부는 주요국 동향과 국내 산업의 성숙도를 고려해 점진적으로 SBOM 제출을 비롯한 SW 공급망 보안을 제도화할 방침이다. 과기정통부는 "디플정위 주요시스템을 구축할 때 SBOM을 시범 적용해 우수사례를 도출·발전시킬 계획"이라며 "올 하반기 산·학·연 전문가들이 참여하는 범정부 합동TF(태스크포스)를 구성해 세부적인 정부지원 방안, 제도화 추진방향 등에 대한 심도 있는 논의를 진행한 뒤 'SW 공급망 보안 로드맵'을 마련하겠다"고 밝혔다.