과학기술정보통신부가 한국인터넷진흥원(KISA)과 소프트웨어(SW) 공급망 보안 관리체계 마련을 위한 실증사업에 착수한다. SW 개발·시험·유통·운영 등 공급망 전 단계에 걸쳐 제품·서비스 투명성을 확보하고 체계적인 보안체계를 구축하는 게 목표다.
SW 구성 명세서(S-BOM)는 SW공급망 보안 관리체계를 확보하기 위한 수단 중 하나로 주목받는다. 이번 사업에선 각 제품·서비스의 S-BOM 생성·분석을 통해 사이버보안 위협에 사전 대응하고, 침해사고 발생 시 즉각 조치, 중장기 대응 및 지속 모니터링 등 보안 관리체계를 수립하기 위한 다양한 실증을 벌인다.
과기정통부와 KISA는 이번 사업 결과를 기반으로 향후 SW 공급망 보안 관리체계를 수립하는 한편 국내 SW기업이 해외 수출 시 S-BOM 제출 의무화 등 무역장벽을 극복할 수 있도록 S-BOM 생성·분석, 보안조치 및 전문 컨설팅 체계도 마련한다.
이번 사업엔 국내 정보보호 전문기업 △핀시큐리티 △스패로우 △레드펜소프트 등이 참여한다. 이들 기업은 국산 보안 솔루션, 업무용 SW 등을 대상으로 개발부터 운영에 이르는 전체 공급망 체계를 분석하고, S-BOM 생성, 보안 취약점 분석·조치, 보안 컨설팅 등을 제공한다.
과기정통부는 실증 결과를 토대로 S-BOM 기반 보안 취약점 분석·조치, 개발·유통 환경의 보안대책을 포함하는 SW 공급망보안 가이드라인을 마련할 방침이다.
정창림 과기정통부 정보보호네트워크정책관은 “실제 산업 현장에서 체감할 수 있는 실효성 있는 SW 공급망 보안 관리체계를 구축하겠다”고 말했다.
조재학 기자 2jh@etnews.com
