과기정통부, 소프트웨어 공급망 보안 강화 위한 SBOM 기반 지원사업 추진

과학기술정보통신부(장관 유상임, 이하 과기정통부)는 한국인터넷진흥원(원장 이상중, 이하 KISA)과 함께 국제적 규제와 소프트웨어 공급망 위협에 대응하기 위해 국내 기업들의 보안 관리체계 구축을 지원하는 ‘소프트웨어 자재명세서(SBOM) 기반 소프트웨어 공급망 보안모형 구축 지원사업’을 본격 추진한다고 밝혔다.

소프트웨어 자재명세서(SBOM, Software Bill of Materials)는 제조업에서 사용하는 자재명세서(BOM, Bill of Materials) 개념을 소프트웨어에 적용한 것으로, 소프트웨어의 구성요소를 식별하고 관리하는 데 활용된다.

최근 소프트웨어 활용 비중이 증가함에 따라 보안 취약점을 악용한 해킹 및 악성코드 삽입 등 공급망 공격 사례가 늘어나고 있다. 특히, 이러한 공격은 단일 기업·기관을 넘어 연쇄적인 피해를 유발할 가능성이 크다.

2021년 말 발생한 Log4j 보안취약점 사태는 보안 문제 자체뿐만 아니라 해당 소프트웨어가 어느 제품·서비스에 적용되었는지 신속한 파악이 어려워 대응이 지연되는 문제가 발생한 바 있다. 이로 인해 SBOM을 기반으로 한 소프트웨어 공급망 관리의 필요성이 더욱 부각됐다.

이에 대응해 미국과 유럽연합(EU) 등 주요국은 소프트웨어 공급망 보안 강화를 위해 관련 법안을 제정하고 있다. 미국은 의료기기 인허가 시 SBOM 제출을 의무화하고 있으며, 커넥티드카·자율주행 시스템에도 SBOM 관리를 요구하고 있다. 유럽연합은 2027년 시행 예정인 사이버복원력법(CRA)을 통해 ‘디지털 요소가 포함된 기기’에 SBOM 관리 의무를 부과할 계획이다.

과기정통부와 KISA는 이번 지원사업을 통해 국내 기업들이 자체적으로 소프트웨어 공급망 보안을 관리할 수 있도록 ▲모형 구축 ▲운영 지원 ▲보안 취약점 조치 기술 지원 등을 제공한다. 기업들의 부담을 최소화하고, 글로벌 규제 강화에 대비할 수 있도록 돕는 것이 목표다.

특히, 지난해 하반기 출범한 범정부 합동 전담반을 통해 산·학·연 전문가 및 관계 부처가 함께 소프트웨어 공급망 보안 정책방향을 마련하고, 단계별 로드맵을 제시할 예정이다.

이번 사업은 개발·제조·공급·운영 기업 및 시스템 통합(SI) 기업 등이 협력사와 연합체를 구성해 참여해야 하며, 총 8개 과제를 선정해 과제당 최대 3.75억 원을 지원한다.

사업 참여를 희망하는 기업·기관을 대상으로 오는 3월 13일(목) 사업 설명회를 개최하며, 공모 접수는 3월 17일(월)부터 4월 21일(월)까지 진행된다. 자세한 사항은 한국인터넷진흥원(KISA) 누리집(www.kisa.or.kr)에서 확인할 수 있다.

과기정통부 최우혁 정보보호네트워크정책관은 “최근 소프트웨어 공급망을 노린 사이버 위협이 증가하고, 이에 따른 국제 규제도 강화되고 있다”며, “이번 지원사업을 통해 국내 기업들이 보안 역량을 강화하고 해외 수출장벽을 극복할 수 있도록 적극 지원하겠다”고 밝혔다.

소프트웨어 공급망 보안이 국제적으로 강화되는 가운데, 정부의 이번 지원사업이 국내 기업들의 보안 역량을 높이고 글로벌 규제에 효과적으로 대응할 수 있는 발판이 될지 주목된다.