SBOM으로 SW 공급망 보안 강화…과기정통부, 관리체계 구축 사례집 발간

▲공급망 보안 모델 구축 사례. (사진제공=과학기술정보통신부)

과학기술정보통신부는 한국인터넷진흥원과 함께 SBOM 기반 SW 공급망 보안 관리 체계 구축 사례집을 발간했다고 16일 밝혔다.

SBOM은 소프트웨어(SW)를 구성하는 전체 컴포넌트들의 구성 요소와 의존 관계를 기술한 자재 명세서다. SW 공급망이 확대·복잡해지면서 이를 악용한 공급망 공격이 증가하고 있다. SW 공급망 공격은 한 번의 공격으로 다수의 기업과 개인에게 큰 영향을 미칠 수 있어 기존 공격에 비해 위험성이 더 크다.

산업계의 효과적 대응을 위해 과기정통부와 KISA는 2025년 SBOM 기반 SW 공급망 보안 관리 체계 구축 지원 사업을 8개 기업에 대해 처음으로 진행했다. 이를 통해 실제 기업 환경에서 SBOM을 활용한 공급망 보안 관리 체계를 구축하고 보안 취약점까지 기업 자체적으로 조치할 수 있게 하는 공급망 보안 공통 모델을 마련할 수 있었다.

정부는 이번 사업으로 美·EU 등의 SBOM 및 공급망 보안 체계 구축 요구 등 글로벌 규제 대응 사례, SBOM을 안전하게 공유하고 수신할 수 있는 SBOM 공유 모델, 시범 사업으로 구축한 공급망 보안 공통 모델을 고도화해 기업 안면 인증 SW, 문서 관리 SW 등 기업별 SW에 맞게 적용한 공급망 보안 내재화 사례를 발굴했다.

특히, 이번 지원 사업은 단순히 재정적 지원에 그치지 않고 美·EU 등 주요국의 보안 요구 사항 충족, 보안 취약점 조치 등을 위한 기술 지원까지 함께 제공해 SW 공급망 보안에 대한 기업들의 부담과 어려움을 최소화했다. 실제로 해당 사업을 통해 취약점을 발굴하고 조치한 후 해외 기업과 납품 계약을 체결한 사례도 존재한다.

과기정통부는 글로벌 규제에 대응하거나 공급망 보안 체계를 자체적으로 구축하고자 하는 기업이 참고할 수 있는 공급망 보안 자가진단 체크리스트를 개발하고 SBOM 추출·관리 시 공급망 위험 관리 관점에서 실무 적용을 용이하게 하기 위해 SBOM 항목 구성 및 활용방안을 정리했다. 사례집은 '정보통신망 정보보호 컨퍼런스'에서 발표될 예정이다.

임정규 과기정통부 정보보호네트워크정책관은 “SW·보안 기업이 공급망 보안 관리체계를 구축할 때 좋은 참고서가 될 것으로 기대한다”며 “정부는 앞으로도 SW 공급망 보안 강화를 지원함으로써 사이버 복원력 확보를 위한 전반적 보안 강화에 힘쓰겠다”라고 말했다.