[디지털데일리 김보민기자] 정부가 소프트웨어자재명세서(SBOM) 관리 체계를 도입할 때 시행착오를 줄일 수 있도록 시범사업에 돌입한다. 지난해에는 SBOM 활용법에 초점을 뒀다면, 올해에는 컨설팅을 포함해 시범사업 영역을 확장한다는 구상이다.

이동화 KISA 공급망안전정책팀 팀장은 11일 서울 양재 aT센터에서 열린 공급망보안 워크숍에서 "지난해와 마찬가지로 실증사업을 진행할 예정"이라며 "올해부터는 SBOM을 기반으로 취약점을 어떻게 해결할 수 있는지에 대한 사후조치까지 다룰 수 있도록 구상 중"이라고 밝혔다. 일종의 컨설팅 개념으로 시범사업을 확대한다는 것이다.

시범사업 프로젝트는 소프트웨어(SW) 제품을 대상으로 공급망 단계별 SBOM 생성 및 보안 취약점을 탐지하고 조치를 지원하는 데 초점을 두고 있다. KISA는 정책적 시급성, 피해 파급도, 해외 수출 유먕 분야 등 세 가지 기준으로 시범사업 대상 기업을 선별한다.

지난해에는 의료, 보안 분야를 대상으로 시범사업이 추진됐다. 환경 분석, 담당자 인터뷰, SBOM 생성, 유효성 검증, 취약점 분석을 중심으로 시범사업이 진행됐고 올해에는 그 대상과 영역이 다양해질 것으로 보인다.

이 팀장은 <디지털데일리>와 별도로 만난 자리에서 지난해와 동일하게 의료와 같은 정책적 시급성이 필요한 산업군은 물론, 금융과 같이 피해 파급도가 높은 산업군에서도 올 하반기 시범 사업이 추진될 계획이라고 시사했다. 규모는 3~4개 기업으로 진행될 전망이다.

한편 정부는 지난해와 올해 시범사업에서 수렴한 의견사항을 SBOM 관리체계 고도화에 반영할 것으로 예상된다. 이 팀장은 "단일 SW에 대해서도 공급망 단계별로 생성되는 SBOM 생성 결과가 각기 다르고, SW 개발자가 모르는 오픈소스가 많다는 의견이 제시됐다"라며 "보안 취약점이 조치되지 않은 오픈소스를 그대로 사용하거나, 도구에서 생성한 SBOM에서 오류, 오기 등 부정확한 데이터가 확인됐다는 의견도 있었다"고 분위기를 전했다.