오픈소스 쓰다가 뚫린다…KISA, 공급망 보안관리 체계 마련

▲KISA 이동화 공급망안전정책팀장. (사진제공=한국인터넷진흥원)

한국인터넷진흥원(KISA)이 오픈소스 소프트웨어를 점검한 결과 공격에 즉시 악용될 수 있는 고위험 취약점이 0.49%인 것으로 나타났다. 개발자가 모르는 외부 코드가 제품 내부에 섞일 수 있다는 구조적 문제가 드러난 것이다.

4일 KISA는 ‘소프트웨어 자재명세서(SBOM) 기반 공급망 보안 모델 구축 주요 성과 및 시사점’을 발표하면서 “올해 115건의 기업 점검·컨설팅을 통해 분석한 결과 총 23만여 개 오픈소스 컴포넌트 중 3.5%에서 취약점이 발견됐다”며 “이중 0.49%는 고위험 취약점”이라고 밝혔다.

SBOM은 제조업의 자재명세서를 SW에 적용한 것으로 SW의 구성요소를 식별하고 관리하는 데 활용된다. 최근 오픈소스 활용이 일상화되고 사이버 공격의 강도가 높아지면서 미국, 유럽연합(EU) 등 주요국에서는 SBOM 제출·관리를 의무화하는 등 소프트웨어 공급망 관리 지침을 강화하고 있다.

이같은 글로벌 규제에 대응하고 경쟁력을 갖추기 위해 정부는 올해 60억 규모의 SBOM 기반 공급망 보안 모델 구축 사업을 추진했다. 구체적으로 에스트래픽·에이아이트릭스·한드림넷 등이 글로벌 규제에 대응할 수 있도록 했다. 소만사·휴네시온과 함께 공급사–고객사 간 SBOM 교환 모델을 구축해 공급망 단계별 투명성을 높였다. 에이아이스페라, 인젠트, 알체라는 협력사·고객사와 SBOM 공유 등을 기업 내부 제도·절차·체계에 내재화했다.

KISA는 산업군별로 SBOM 기반 보안 내재화 사례도 도출했다. 의료·AI·보안·교통 분야 기업들이 자사 개발 절차와 품질관리 단계에 SBOM을 반영하는 구조를 만들었다. 글로벌 규제 요구사항을 118개 항목으로 정리한 ‘공급망 보안 자가진단 체크리스트’도 마련했다. KISA는 내년 초 기업용 안내서를 배포하고 의료·교통·금융 등 산업별 특성에 맞춘 프레임워크 구축을 확대할 계획이다.

이동화 KISA 공급망안전정책팀장은 “이번 실증을 통해 개발자도 모르는, 보안 취약점이 개선되지 않은 오픈소스가 제품에 쓰이는 경우가 많다는 것이 드러났다”며 “빠른 시간 안에 모델을 많이 모아서 공통된 부분을 찾은 후 산업별 프레임워크를 만들 예정”이라고 말했다.

한편, 과학기술정보통신부는 5일 KISA와 함께 ‘SW 공급망 보안 모델 구축 지원사업 성과 공유회’를 열고 의료·교통·보안·금융 등 다양한 산업군의 SBOM 기반 보안 강화 사례를 공개했다. 정부는 올해 8개 컨소시엄을 선정해 SBOM 기반 공급망 보안 모델 구축과 글로벌 규제 대응, 취약점 조치 등을 지원했으며 미국·EU 등 주요국의 요구 기준 충족을 위한 기술지원도 병행했다고 밝혔다.