소프트웨어(SW) 공급망 위협이 갈수록 커지면서 SW 공급망 보안관리 인재를 찾는 기업이 늘어나고 있다. 하지만 아직 이렇다 할 인재 육성책이 없어 SW 공급망 보안 인재를 길러내기 위한 체계 마련이 필요하다는 목소리가 나온다.
4일 정보보호산업계에 따르면, 신한은행이 최근 SW 개발보안 경력직 채용 공고에서 주요 업무로 SW 자재명세서(SBOM) 등 SW 공급망 보안 관리 체계 구축·관리를 기재했다. 특히 SW 공급망 보안관리 경험자를 우대한다고 밝혔다.
SBOM은 SW 구성요소를 식별할 수 있도록 돕는 일종의 명세서로, 공급망 보안의 핵심 도구로 떠올랐다. 사고 발생 시 문제가 된 SW부품 포함 여부를 빠르게 확인할 수 있어 신속한 대처가 가능하다. SBOM 자체는 새로운 개념이 아니다. 하지만 신한은행 채용 공고에서 SBOM을 공급망 보안 관리 도구로 활용하려는 시도는 유의미한 움직임이며 앞으로 이러한 흐름은 지속될 것이라는 게 정보보호산업계의 중론이다.
다만 SW 공급망 인재 교육 프로그램 등은 충분하지 않은 상황이다. 고려대 SW·AI 융합대학원에서 올해 1학기부터 'SW 공급망 보안' 과목을 개설했고, 한국정보보호산업협회(KISIA)에서 3일 일정의 교육 프로그램을 운영하는 정도다.
정부는 이제 막 SW 공급망 보안 강화책 마련에 나선 상태다. 국가정보원과 과학기술정보통신부가 지난 9월 공동으로 'SW 공급망보안 태스크포스(TF)'를 꾸렸으며, TF 산하 8개 워킹그룹을 두고 3개년 로드맵을 마련 중이다.
'교육·훈련' 워킹그룹은 SBOM 활용사례·모범사례 등을 전파해 공급망 보안 전주기에 걸쳐 보안 태세를 제고하는 한편 지식을 체계적으로 조직화할 계획이다. 나아가 SBOM을 매개로 개발자-보안관리자-최고경영진(C-레벨)까지 아우르는 교육체계를 구축한다는 목표도 세웠다.
교육·훈련 워킹그룹을 담당하고 있는 최윤성 고려대 소프트웨어 보안학과 교수는 “SW개발자엔 SBOM 생성 교육이, 보안관리자는 취약점을 분석하고 보안을 강화하는 등 SBOM을 읽어낼 수 있는 교육이 필요하다”면서 “C레벨은 SBOM 도입 시 효과성에 대한 인식이 필요하다”고 말했다.
이어 최 교수는 “국가 전반적으로 하나의 교육체계를 만들고 교육 대상자에 맞춤형 교육을 제공해 조화를 이루도록 할 것”이라고 덧붙였다.
내년 SW 공급망 보안 국가직무능력표준(NCS)의 확정·고시를 시작으로 교육체계가 구축될 것이란 전망도 나온다. KISIA는 현재 SW 공급망 보안 NCS 개발 마무리 단계에 들어갔다.
한국정보보호학회 공급망보안연구회 회장인 이만희 한남대 컴퓨터공학과 교수는 “SW 공급망 NCS는 다른 NCS와 달리 산업이 형성되기 전에 NCS를 먼저 개발한 사례”라몁 “SW공급망 보안 NCS가 마련되면 인력 채용부터 교육까지 진행되는 것은 물론 많은 변화가 시작될 것”이라고 말했다.
조재학 기자 2jh@etnews.com