정부가 소프트웨어 구성명세서(S-BOM) 실증에 나선 데 이어 제도화 검토에 들어갔다. 미국·유럽 등 주요국 S-BOM 의무화가 SW 수출 허들로 작용할 수 있어서다. 다만 S-BOM 제도화에 앞서 자율적 도입 방안을 마련하는 한편 SW 중요도에 따라 우선순위를 두고 추진한다는 방침이다.
과기정통부는 SW 공급망 보안관리 체계 구축을 위한 법·제도적 기반 마련에 착수했다. 국내 SW 생태계에 S-BOM을 안착시키는 게 목표다.
SW 개발과정에 포함되는 오픈소스 SW 목록 등 주요 구성품의 명세서인 S-BOM은 SW 공급망 보안 대책으로 주목받는다. SW에 포함된 보안 취약점을 발견·조치할 수 있고, 유통·운영 과정에서도 지속적인 분석으로 보안성을 확보할 수 있다.
과기정통부가 S-BOM 활성화에 나선 것은 해외 주요국의 S-BOM 제도화로 인해 국내 SW기업이 무역장벽에 맞닥뜨릴 수 있다는 우려 때문이다. 미국은 2021년 5월 SW 공급망 보안을 강화하는 행정명령(EO-14028)을 발표, 정부 기관에 납품하는 SW를 대상으로 S-BOM 의무화를 추진하고 있다. 유럽공동체 역시 2022년 9월 SW 공급기업이 도입기업에 S-BOM을 제출하도록 의무화하는 내용의 '사이버복원력법'을 발표했다. 국내 SW기업이 S-BOM 없이 수출할 수 없는 처지에 놓인 것이다.
이에 과기정통부는 핀시큐리티·스패로우·레드펜소프트를 사업자로 선정해 S-BOM 실증을 진행하는 동시에 제도화 방안을 검토하고 있다.
특히 S-BOM 활성화를 위해 SW시장에서의 자율적 도입을 유인하되 기존 법·제도를 활용해 제도화하는 투 트랙 전략을 세웠다. 행정적·재정적 지원방안에도 인식부족 등으로 시장 호응을 얻기 힘들 것으로 예상되기 때문이다.
S-BOM 제도화엔 '정보통신망 이용촉진 및 정보보호 등에 관한 법'(정보통신망법)과 '소프트웨어진흥법' 등을 활용할 것으로 보인다. 정보통신망법은 과기정통부 장관이 전기통신사업자에 정보보호 조치를 권고할 수 있도록 규정하고 있다. 소프트웨어진흥법은 소프트웨어프로세스 품질을 인증하고 소프트웨어 안전을 위한 지침을 고시할 수 있도록 명시돼있다.
SW 중요도에 따라 공급망 관리 적용범위도 정할 방침이다. 이를 위해 시장 점유율, 산업별 중요 SW 등을 기준으로 SW 공급망 관리 우선순위를 도출할 계획이다.
과기정통부 관계자는 “해외 주요국이 S-BOM을 어떻게 운용하는지 분석해 벤치마킹할 것”이라면서 “국내 S-BOM 적용 시 산업별 우선순위도 파악하겠다”고 말했다.
조재학 기자 2jh@etnews.com
