정부가 소프트웨어(SW) 개발·공급부터 사고 대응, 사후관리까지 공급망 보안체계를 강화한다. 소프트웨어 자재명세서(SBOM)를 확산하고 인공지능(AI) 기반 방어체계를 구축해 공급망 공격에 따른 연쇄 피해를 차단한다.
과학기술정보통신부와 국가정보원은 24일 한국정보보호학회 '2026년도 공급망 보안 워크숍'을 통해 'AI 일상화 시대를 준비하는 SW 공급망 보안 로드맵'을 발표했다.
로드맵은 △사고 예방 역량 강화 △신속한 탐지·대응체계 구축 △정책·제도 기반 조성 등 3개 축으로 구성됐다.
정부는 개발·공급 단계부터 보안을 내재화해 사고 예방 역량을 높인다. 공급망 보안 기준과 가이드를 개발하고 기업의 보안 수준 점검과 개발환경 전환을 지원한다. SW 구성요소와 의존관계를 기록한 '소프트웨어 자재명세서(SBOM)' 기반 관리 모델도 확산한다. 공급망 보안 업무를 AI로 자동화하는 연구를 추진하고 전문기업과 인력도 육성한다.
공급망 취약점을 조기에 찾아 피해 확산을 막는 대응체계도 구축한다. 버그바운티와 보안 취약점 상시 신고·조치·공개제도(CVD·VDP) 등을 활용해 취약점 발굴 창구를 넓힌다. AI 기반 방어체계로 위협 탐지와 조치 속도를 높이고 공공납품 정보통신제품의 안보 위해 여부를 검증하는 방안도 마련한다. 민간과 공공 분야별 위험관리 체계도 구축한다.
개발부터 사후관리까지 공급망 보안을 뒷받침할 정책과 제도도 정비한다. 범정부 SW 공급망 보안협의체를 구성하고 공급망 보안 포럼을 운영해 민간 자율 활동을 지원한다. 민간·공공 보안제도에 공급망 보안 요소를 반영하고, 보안적합성 검증 대상 제품과 요구사항을 확대한다. 주요국과 협력체계를 강화하고 국내외 보안 인증의 상호인정도 넓힌다.
임정규 과기정통부 정보보호네트워크정책관은 “광범위한 사이버공격이 본격화돼 공급망 보안이 어느 때보다 중요해졌다”며 “로드맵 발표를 기점으로 공급망 보안을 지속 강화해 나가겠다”고 말했다.
박진형 기자 jin@etnews.com
