소프트웨어(SW) 공급망 보안이 갈수록 중요해지지만 올해 관련 예산은 '제로(0)'인 것으로 확인돼 업계 우려가 커지고 있다.
북한을 비롯한 국제 해킹조직이 연쇄 공격을 위해 SW 공급망 공격을 활발히 벌일 것으로 예상되는 데다, 미국·유럽 등 주요국을 중심으로 SW공급망 보안이 수출 허들로 작용할 수 있기 때문이다.
5일 정보보호업계에 따르면, 과기정통부가 지난해 40억원 규모 SW 공급망 보안 관련 예산안을 제출했지만 한 푼도 확보되지 못했다. 예산안에는 SW 공급망 보안 통합관리체계를 위한 정보전략계획(ISP) 수립, SW 공급(개발)·수요기업 대상 개발환경 보안점검 등 사업이 포함됐다.
SW 공급망은 SW 개발부터 패치 등 유통, 운영 전과정을 의미한다. 해커가 무료 오픈소스에 악성코드를 심어 놓거나 자동 패치 업데이트 과정을 공격 루트로 활용하는 등 SW 공급망 요소요소가 해커의 먹잇감이 되면서 중요성이 대두됐다.
로그4제이(Log4j)를 비롯해 솔라윈즈, 3CX 등이 대표적 SW 공급망 보안 사고 사례다. 일례로 2020년 12월 네트워크 관리 솔루션 기업인 솔라윈즈 해킹으로 미국 정부와 주요 500개 기업 등 약 1만8000여 고객사가 피해를 입었다. 해킹조직은 SW공급망을 뚫으면 연쇄 공격이 가능하므로 SW 개발사를 주타깃으로 삼는다. 국내외 주요 보안기업의 올해 사이버 위협 전망 보고서에서도 SW 공급망 공격은 빠지지 않고 등장한다.
북한발 SW 공급망 공격에 대한 우려도 크다. 한국인터넷진흥원(KISA)은 북한 정찰총국 산하 해킹조직 라자루스가 지난해에 이어 올해도 SW 공급망 공격을 시도할 것으로 내다봤다.
미국·유럽 등 주요국은 발빠르게 움직이고 있다. 미국과 유럽연합(EU)은 각각 2021년, 2022년에 SW 구성명세서(S-BOM) 제출 의무화 등 SW 공급망보안 강화정책을 내놓았다. 나아가 미국은 지난해 10월 식품의약국(FDA)을 통해 의료분야에서 S-BOM이 적용된 SW만 납품하도록 규정했다. 일본 역시 지난해부터 대규모 정보통신 분야를 대상으로 S-BOM 적용을 추진하고 있다.
문제는 주요국의 S-BOM 의무화 조치가 국내 SW 기업에 무역장벽으로 작용할 수 있다는 점이다. 국내 중소 SW기업은 전문인력과 예산 부족으로 자체 SW 공급망 보안 적용이 어렵다. S-BOM 생성은 물론 보안취약점 발굴·조치 등에 대한 정부 차원의 지원이 필요하다.
염흥열 순천향대 정보보호학과 교수는 “미국은 러시아·중국진영과 서방진영을 나누고 S-BOM 의무화를 통해 SW 공급망 보안을 강화하는 전략을 펼치고 있다”며 “정부도 가능한 조속히 예산을 확보해 지난해 실시한 SW 공급망 보안 실증을 올해도 이어갈 필요가 있다”고 말했다.
조재학 기자 2jh@etnews.com