유럽연합(EU) 이사회가 역내 판매되는 디지털 제품(서비스)의 소프트웨어 자재명세서(SBOM) 의무화 등을 담은 사이버복원력법(Cyber Resilience Act)을 채택하면서 SW공급망 보안 강화를 위한 움직임이 속도를 내고 있다. 한국 정부도 민·관 합동 태스크포스(TF)를 꾸리고 SW공급망 보안 로드맵 마련에 나섰다.
18일 외신 등에 따르면, EU 이사회는 지난 10일 노트북, 모바일 기기, 홈 카메라, 냉장고 등 디지털 요소가 포함된 제품에 대한 사이버보안 요구 사항을 제정하는 사이버복원력법을 채택했다. 이 법안은 조만간 유럽 이사회 의장과 유럽의회 의장의 서명을 거쳐 공표된 뒤 20일 후 발효된다. 전면 적용은 발효 36개월 후부터다.
사이버복원력법은 EU 안에서 판매되는 디지털 제품(서비스)의 사이버 보안 요건을 규제하는 게 목표다. 이미 사이버 보안 규제가 적용된 의료기기·항공 제품·자동차 등 일부를 제외하고 다른 장치나 네트워크에 직·간접적으로 연결된 모든 제품에 적용된다.
특히 SW기업에 SBOM을 작성하고 제공할 것을 요구한다. SBOM은 SW 제품에 포함된 모든 구성요소, 라이선스, 버전 정보에 대한 상세목록을 말한다. SW 구성요소와 출처를 명확히 해 공급망 투명성을 높이는 게 핵심이다.
EU는 소비자가 디지털 요소가 포함된 제품을 선택하고 사용할 때 사이버보안을 고려하게 되고, 사이버보안 기능을 가진 제품을 더 쉽게 선별할 수 있을 것으로 기대하고 있다.
우리 정부도 지난 2월 발표한 '국가사이버안보전략'에 이어 지난달 '국가 사이버 안보 기본 계획'에서도 공급망 보안 강화를 중요한 전략적 목표 중 하나로 강조하는 등 대책 마련에 나서고 있다. 지난달엔 국가정보원과 과학기술정보통신부 주도로 SW 공급망 보안 TF를 발족하고, 내년 1월까지 공공분야 SW 보안 기준을 비롯한 보안 정책을 수립한다는 계획을 내놨다. 2027년 시행을 목표로 단계별 로드맵을 공개할 계획이다.
SW 공급망 보안은 사이버 위협에 대응하는 보안 문제인 동시에 수출을 가로막는 경제 문제이기도 하다. EU가 요구하는 SBOM이 우리 SW기업에 무역장벽으로 작용할 수 있어서다. TF가 8개 워킹그룹 중 국제통상 그룹을 따로 둔 이유도 여기에 있다. 국제통상 워킹그룹은 SBOM 준비 등 국내 SW기업의 수출 역량을 높이는 방안을 모색한다.
SW공급망 인재 양성 노력도 분주하다. 국가직무능력표준(NCS) 개발이 대표적이다. SW공급망 보안 NCS는 정보통신(대분류)-정보기술(중분류)-정보보호(소분류) 내에 신설할 예정이다. SW공급망 보안 인력이 갖춰야 할 필수 역량과 지식을 명확히 정의하고, 이를 바탕으로 교육과정 개발과 인력양성 프로그램의 기초를 제공할 것으로 보인다.
조재학 기자 2jh@etnews.com
