과학기술정보통신부와 국가정보원이 공동으로 소프트웨어(SW) 공급망 보안 태스크포스(TF)를 띄웠다. TF는 갈수록 심화하는 SW 공급망 위협에 대응해 공급망 전 단계에 걸친 사이버 보안 체계를 마련한다.
과기정통부와 국가정보원은 25일 국가사이버안보센터 판교캠퍼스에서 국가안보실 등 관계기관과 산·학·연 전문가 60여명이 참석한 가운데 'SW 공급망 보안 TF'를 발족했다.
SW 공급망은 SW 개발부터 패치 등 유통, 운영 전 과정을 말한다. 최근 SW 개발사를 공격해 제품이나 업데이트 파일에 악성코드를 주입, 해당 SW를 사용하는 다수의 정보기술(IT) 장비나 개인용컴퓨터(PC) 전체를 감염시키는 방식의 SW공급망 공격이 주를 이루고 있다. 이 때문에 전 세계에 흩어진 개발사, 유통(공급)사, 운영사 등 각 단계에서 역할을 완수해야 SW 공급망 전체의 위험이 관리될 수 있다.
실제 SW공급망 보안은 날이 갈수록 중요해지고 있다. 지난 7월 전 세계를 덮친 일명 '죽음의 블루스크린'이 대표적인 SW공급망 문제다. 미국 보안 업체 크라우드스트라이크가 보안 소프트웨어를 업데이트하는 과정에서 마이크로소프트 운영체계(OS) 윈도와 충돌을 일으켜, 공항·금융 등 전 세계 곳곳이 마비됐다.
특히 정부는 자율주행·사물인터넷(IoT)·스마트시티 등 국가 사회 전반에 디지털 전환(DX)이 가속화됨에 따라 북한 등 국가배후 해킹조직이 SW공급망 공격을 통해 공공분야는 물론 사회에 전반에 걸친 대규모 피해와 사회적 혼란을 노리고 있는 것으로 보고 있다.
또 미국과 유럽연합(EU)을 중심으로 SW 구성명세서(S-BOM) 제출을 의무화하는 등 SW 공급망보안 강화 정책을 내놓으면서 국내 SW기업에 무역장벽으로 작용할 수 있다는 우려도 있다.
이번에 발족한 TF는 SW 공급망 전반의 사이버 위협 요인을 진단하는 동시에 보안정책과 산업계 지원방안을 마련한다. 국방부·행정안전부·디지털플랫폼정부위원회·국군방첩사령부 등 관계기관과 SW산업계를 포함한 산·학·연 전문가가 참여한다. 국정원은 '정책분과'를, 과기정통부는 '산업분과'를 주관하며, 매월 그룹별 회의와 전체회의를 진행할 예정이다.
TF는 내년 1월까지 공공분야 SW 공급망 보안 기준 등 보안정책과 함께 산업지원·육성방안을 마련하고, 2027년 시행을 목표로 단계별 로드맵도 공개할 계획이다. 특히, 국정원은 현재 망분리 개선방안으로 추진 중인 다층보안체계(MLS)와 연계해 공공분야 공급망 보안정책을 수립할 계획이다.
신용석 대통령실 사이버안보비서관은 “세계적으로 사이버 안보에서 공공-민간 협력의 중요성이 강조되고 있다”면서 “이번 TF는 공급망 보안 영역에서 공공-민간 협력의 모범사례가 될 것”이라고 말했다.
류제명 과기정통부 네트워크정책실장은 “SW 공급망 보안이 기업에 부담보다는 경쟁력 강화와 해외 무역장벽 극복을 위한 지원책이 될 수 있도록 민·관이 머리를 맞대어 정책을 수립하겠다”고 말했다.
국정원 국가사이버안보센터장은 “산업과 안보에 미치는 영향을 충분히 검토하고 국내 기업과 공감대를 형성하면서 SW공급망 보안정책을 마련하겠다”고 말했다.
조재학 기자 2jh@etnews.com
