정부가 제작한 소프트웨어(SW) 공급망 보안 가이드라인이 외국어 버전으로 나와 눈길을 끈다. 개발도상국을 대상으로 국내 사이버 보안 역량을 전수하기 위해서다.
9일 정보보호업계에 따르면, 한국인터넷진흥원(KISA)은 지난달 SW 공급망 가이드라인 1.0 요약본의 영어·스페인어 버전을 공개했다. KISA 측은 개도국 사이버보안 역량을 강화하는 지원 사업인 '글로벌정보보호센터(GCCD)'와 협업한 것이라고 설명했다.
KISA가 SW 공급망 가이드라인의 외국어 버전을 내놓은 것은 개도국에도 SW공급망 보안 중요성이 커졌기 때문으로 보인다.
SW 공급망 보안은 SW 개발·설계·배포·업데이트 등 공급망 전 과정에 발생할 수 있는 보안 위협을 예방·대응하는 체계다. SW가 최종 사용자에게 전달되기 전까지 거치는 모든 과정에서 보안 취약점을 식별하고 보호하는 게 핵심이다.
최근 해커 등 공격자가 개인용컴퓨터(PC) 등 개별 단말 해킹에 머무르지 않고, SW 개발 업체를 노려 제품과 업데이트 파일에 악성코드를 주입하는 방식으로 공격을 벌이고 있다. 또 올해 7월 미국 보안 업체 크라우드스트라이크의 보안 SW 업데이트 사고로 글로벌 정보기술(IT) 대란이 일어나면서, SW공급망 보안 강화는 선택이 아닌 필수로 자리잡았다.
SW 공급망 가이드라인엔 SW자재명세서(S-BOM) 기반 SW 공급망 보안 관리체계, 국내 SBOM 실증 결과, SBOM의 안전한 활용방안 등 구체적 사례를 중심으로 보안 강화 방안이 담겼다.
GCCD는 지난 2015년 설립한 KISA 내 버추얼(virtual·가상) 조직이다. 2012년 세계은행(WB) 제안을 시작으로 2013년 WB와 방송통신위원회 간 GCCD 설립 업무협약 체결이 계기가 됐다. GCCD는 개도국 공무원·공공기관 담당자 대상 정보보호 역량강화 프로그램을 제공해 사이버보안 분야 공적개발원조(ODA)를 수행하는 한편 국제사회에서 고부가가치 리더십을 발현한다는 게 목표다.
구체적으로 개도국 대상 보안 분야 지원 수요를 파악해 컨설팅·기술실습·세미나·보안정보공유 등 맞춤형 역량 강화 프로그램을 지원한다. 지난해엔 베트남·인도네시아 사이버보안 전문가를 20명을 대상으로 '디지털포렌식' 집중 실습 프로그램을 운영했으며, 우간다·필리핀·페루 등 19개국에서 25명이 참여하는 교육 세미나를 열기도 했다.
KISA는 SW공급망 보안과 함께 주목받는 차세대 보안 패러다임인 제로 트러스트의 경우 가이드라인 업데이트 이후 외국어 버전 출시 여부를 검토할 방침이다. 과학기술정보통신부와 KISA가 지난해 7월 제로 트러스트 가이드라인 1.0을 발표했으며, 연내 2.0 버전 배포를 목표로 개정 작업을 진행 중이다.
KISA 관계자는 “개도국의 사이버보안 역량 강화를 위해 공급망 위협의 위험성과 공급망 보안의 중요성을 알리는 인식 제고 활동을 추진할 것”이라고 밝혔다.
조재학 기자 2jh@etnews.com