정부가 AI를 활용한 사이버 공격 확산에 대응하기 위해 SW(소프트웨어) 공급망 보안 강화 로드맵을 마련했다. 개발 단계부터 보안을 내재화하고 AI 기반 위협 탐지 체계를 구축해 공급망 공격에 선제 대응한다는 구상이다.
과학기술정보통신부와 국정원은 24일 서울 서초구 aT센터에서 열린 '2026 공급망 보안 워크숍'에서 'AI 일상화 시대를 준비하는 SW 공급망 보안 로드맵'을 공개했다.
정부는 우선 SW 개발·공급 단계부터 보안을 내재화해 사고 예방 역량을 높일 계획이다. 공급망 보안 기준과 가이드를 마련하고 기업의 보안 수준 점검과 안전한 개발 환경 전환을 지원한다.
또한 SW 구성요소와 의존관계를 기록하는 SBOM(소프트웨어 자재명세서) 기반 공급망 보안 관리 체계를 확산한다. SBOM은 소프트웨어에 포함된 오픈소스와 라이브러리 등 구성요소 정보를 기록한 '소프트웨어 부품 목록'으로, 취약점 발생 시 영향을 받는 제품을 신속히 식별하는 데 활용된다. 정부는 AI 기반 공급망 보안 자동화 기술 개발과 전문기업·인력 양성도 추진할 계획이다.
사고 대응 체계도 강화한다. 취약점 신고포상제를 확대하고 취약점을 쉽게 신고할 수 있는 체계(VDP)와 신속한 보완·공개 절차(CVD)를 마련해 공급망 보안 취약점 발굴과 대응 역량을 높인다.
공공 부문에서는 납품되는 정보통신제품의 안보 위해 여부를 검증하는 방안을 검토한다. 민간과 공공 분야별 공급망 위험관리 체계를 구축한 뒤 상호 협력을 통해 위협 확산을 차단할 계획이다.
정책·제도 정비도 병행된다. 정부는 범정부 SW 공급망 보안 협의체를 구성하고 민간 중심 공급망 보안 포럼 운영을 지원한다. 공공·민간 보안 제도에 공급망 보안 요소를 반영하고 보안적합성 제도 대상 제품과 요구사항도 확대할 예정이다.
해외 진출 지원을 위해 주요 사이버보안 선도국과 협력 체계를 강화하고 국내 인증 제도의 국제 상호인정 확대도 추진한다.
이원규 과기정통부 정보보호산업과 사무관은 "과거에는 개별 시스템을 노리던 공격이 이제는 소프트웨어 개발·공급 과정의 취약한 고리를 겨냥하는 공급망 공격으로 진화하고 있다"며 "과기정통부는 민간 분야, 국정원은 공공 분야의 공급망 전반에 대한 보안 강화 계획을 수립해 단계적으로 추진할 예정"이라고 말했다.
국정원 관계자는 "중대한 취약점이 확인된 소프트웨어 제품에 대해서는 공공 조달 제한 등 제재 방안도 검토하고 있다"며 "SBOM 기반 관리 체계와 취약점 정보 공유 시스템을 구축해 공급망 위협에 선제적으로 대응하겠다"고 밝혔다.