한국인터넷진흥원(KISA)이 소프트웨어 공급망 보안 지원을 확대한다. 기업이 어떤 오픈소스와 외부 코드를 써서 소프트웨어(SW)를 만들었는지 정리하는 SBOM 체계 구축을 지원하고, 개발기업에는 무료 보안 점검도 제공한다.
16일 KISA에 따르면 올해 공급망 보안 사업 추진계획의 핵심은 'SW 공급망 보안 모델 구축 지원'과 'SW 개발기업 공급망 보안 점검·기술지원'이다. 최근 미국과 유럽을 중심으로 공급망 보안 규제가 강화되는 만큼 국내 기업 대응력을 높이려는 취지다.
SW 공급망 보안 모델 구축 지원 사업에는 40억원이 투입된다. 디지털 제품·서비스를 개발하거나 공급하는 기업 등이 대상이다. 8개 안팎 과제를 선정해 과제당 3억~5억원을 지원한다.
SBOM은 소프트웨어를 만들 때 어떤 오픈소스와 외부 코드를 사용했는지 정리한 명세서다. 문제가 생겼을 때 어떤 제품이 영향을 받는지 빨리 확인하고 대응하는 데 쓰인다. KISA는 기업이 이런 정보를 만들고 관리할 수 있는 체계를 갖추도록 지원할 계획이다. 잠재 위협이나 새로 나온 위협을 모니터링하는 체계도 포함된다.
지원 방식은 예산 지원에 그치지 않는다. KISA는 SCA 도구와 서버, DB 등 인프라 구축을 돕고 운영 전반에 대한 기술 지원도 제공한다. SBOM 활용 성공 사례를 알리는 홍보 지원도 함께 한다.
기업 부담 비율은 규모별로 다르다. 대기업은 총 사업비의 50%, 중견기업은 30%, 중소기업은 25%를 각각 부담해야 한다. 현금 부담 비율은 각각 15%, 13%, 10%다. 사업 공고와 신청 접수는 3~4월 진행되며 접수 마감은 4월 9일 오후 2시다. 최종 선정은 5월, 사업 수행은 5월부터 12월까지다.
별도로 SW 개발기업을 위한 공급망 보안 점검과 기술지원도 진행한다. 소스코드와 개발환경을 보유한 SW 개발 또는 공급 기업이 대상이다. 점검 비용은 전액 무료다.
현장 진단은 기업에 전문가가 직접 가는 방식이다. 소스코드 진단, 동작 진단, SBOM 점검, 개발환경 모의해킹 등을 지원한다. 기업별로 최소 3일에서 최대 10일가량 진행된다. 판교에서 진행하는 내방형 기술지원은 소스코드와 SBOM 중심으로 최소 1일에서 최대 3일 동안 받을 수 있다.
이번 사업은 공급망 보안을 일부 대기업만 챙기는 문제가 아니라, 소프트웨어를 만드는 기업이라면 개발 단계부터 관리해야 할 기본 항목으로 끌어올리려는 시도다. 해외에서 관련 요구가 갈수록 늘고 있는 만큼, 국내 기업 입장에선 보안 대응이 곧 거래와 수출 경쟁력으로 이어질 수 있다.
