정보기술(IT) 영역에 관한 모든 지식을 압축해 풀이합니다. IT산업에 꼭 필요한 용어들을 소개하고, 살펴보면 좋을 쟁점들도 정리합니다. IT가 처음인 입문자라면 혹은 동향을 알고 싶은 전문가라면, 디지털데일리의 'IT백과'를 참고하세요. <편집자주>

[디지털데일리 김보민기자] 최근 5년간 소프트웨어(SW) 공급망을 침투해 사이버 공격을 가하는 사고가 이어지면서, 소프트웨어자재명세서(SBOM)에 이목이 쏠리고 있다.

SBOM은 제조업에서 사용하는 부품표(BOM) 개념을 정보기술(IT) 영역에 착안한 용어다. SW 구성 요소를 식별하고, 오픈소스 및 외부 서비스 융합 방식 등을 포괄해 보여주는 일종의 명세서인 셈이다. 공급망 구성을 정리해 놓기 때문에 장애가 발생할 경우 빠르게 원인을 찾을 수 있고, 위협이 가해질 때 대응 전략을 고도화할 수 있다는 장점이 있다.

국내에서는 아직 SBOM을 도입하려는 움직임이 활발하지 않지만, 지난해 정부가 'SW 공급망 보안 가이드라인 1.0'을 공개한 이후 체계 수립에 대한 공감대를 수립한 상황이다. 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)은 실증 사업을 마치고 올해 예산 30억원을 투입해 SBOM 기반 공급망 보안 모델 구축 지원사업을 추진한다. 각 과제(총 8개)에 최대 3억7500만원을 투입하고, 별도 컨설팅을 지원하는 것이 핵심이다. 지원 사업은 지난달 17일 접수를 시작해, 이달 21일 마감된다.

이번 지원 사업은 디지털 제품과 서비스를 개발하거나 공급하는 기업이라면 누구든 신청할 수 있다. 업계에 따르면, 현재 해당 사업은 내수보다 해외 사업에 집중하는 기업들로부터 관심을 받고 있다. 해외 진출을 준비 중이거나, 진출 중인 기업이 다수인 것으로 전해진다.

주요 수출 시장에서 SW 공급망 보안에 대한 정책을 강화하고 있는 만큼, 해외 기준에 맞는 증명서가 필요해진 탓이다. 현재 SW 공급망 보안 정책을 펼치고 있는 대표적인 지역으로는 미국, 유럽연합(EU), 일본, 영국 등이 있다.

미국은 SW 공급망 보안에 가장 적극적인 국가로 꼽힌다. 미 표준기술연구소(NIST)는 2022년 2월 '안전한 소프트웨어 개발 프레임워크(SSDF)'를 개정했고, 같은 해 5월 'SW 공급망 위험 관리(C-SCRM)' 기준을 개정했다. 미국 국가안보국(NSA)와 사이버보안 및 인프라 보안국(CISA)은 2022년 9월 '개발자 공급망 보안 지침'을 공개했고, 이후 NIST 또한 '안전한 SW 공급망 보안 가이드'와 'SW 소비 공급망 보안 가이드'를 발표하며 정책 마련에 속도를 올렸다.

그 일환으로 CISA는 지난해 3월 '시큐어 SW 개발 증명(Secure SW Development Attestation Form·이하 개발증명)'을 시행했다. 개발증명은 개발 및 공급 기업이 자체적으로 SW를 안전하게 개발했는지 증명하고, 그 결과를 CISA에 제출하도록 한 것이 특징이다. 여기에는 SW 제품명, 버전, 출시일자를 명시하고 ▲안전한 개발 및 빌드 환경 구축 ▲신뢰성 높은 소스코드 관리 ▲출처 관리 ▲보안 취약점 관리 등 체계를 갖추도록 하고 있다.

개발증명을 중심으로, 미국 내 규제 당국도 SW 공급망 보안에 초점을 둔 보안 정책을 시행하고 있다. 미 국제의료기기규제당국자포럼(IMDRF)은 식품의약국(FDA) 인허가 시 공급망 보안 강화를 의무화하도록 하고 있다. 제조업체가 의료 기기를 시판하기 전과 후에 준수해야 할 사항 또한 명시했다. 시판 전에는 사이버보안 위험 평가 계획, 위협 모델링, SBOM 등을 갖추도록 하고 이후에는 전체 제품 수명주기(TPLC) 사이버보안 위험 평가, 최신 버전 유지 등을 하도록 한다.

각 산업별로 SW 공급망 보안을 강화하려는 움직임도 두드러지는 중이다. 미국은 중국·러시아와 관련된 커넥티드 시스템 하드웨어(HW), SW, 자율주행시스템 SW가 탑재된 차량 수입과 판매를 금지하는 규제를 추진 중이다. SW가 중국 또는 러시아 기업에 의해 설계, 개발, 제조, 공급되지 않았다는 점을 증명할 필요가 커진 것이다.

EU 또한 SW 공급망 보안에 적극적인 지역이다. EU는 지난해 12월 사이버복원력법(CRA)을 발효해 2027년 시행을 예고했다. CRA는 사이버 보안 제품에 대한 공통 표준을 수립해, 현지 시장에 출시된 제품과 SW 안전성을 확보하자는 취지로 수립됐다. 직간접적으로 타 기기 또는 네트워크에 연결될 수 있는 디지털 요소가 포함된 모든 제품이 법 적용 대상이다. 법을 이행하지 않을 경우 최대 1500만유로 또는 글로벌 매출액 2.5%까지 과징금이 부과될 수 있다. SBOM 제출은 의무화될 전망이다.

국내 기업이 미국과 EU 정책에 촉각을 세운 이유다. 이외 일본은 2019년 SBOM 도입을 목적으로 SW 태스크포스(TF)를 구성했고, 지난해 SBOM 생성 및 활용 가이드를 발표했다. 영국은 법무부 산하 국가사이버보안센터(NCSC)에서 기기 보안 가이드를 배포했고, SBOM 및 저장소 중요성을 담은 가이드 문서를 발표했다. 네덜란드는 SBOM 활용법 가이드를, 독일은 SBOM 기술 가이드라인을 발간한 상태다. 현지 사업을 확장하고 정책 및 규제를 위반하지 않기 위해 국가별 SW 공급망 보안 전략이 필요해졌다는 의미다.

일각에서는 대기업이 아닌 이상 SW 공급망 보안을 자체 구축하기 어렵다는 우려도 나온다. 이번 구축 지원 사업 결과에 따라 진행하겠다는 의견도 제기된다. 다만 과제 규모가 8개라, KISA는 추후 추가 지원을 모색할 계획이다.

KISA는 지난 27일 취재진을 만난 자리에서 "(정부 지원금) 3억7500만원을 모두 받으려면, 그만큼 기업이 부담해야 하는 비율 또한 높아진다"며 "과제에 선정된 모든 기업이 지원금을 전액 지원받지 않을 것으로 예상되는 만큼, (잉여 지원금을 활용해) 다른 분야에 추가 지원이 가능하도록 할 예정"이라고 말했다. 총 사업비 기준으로 중소기업은 20%, 중견기업은 30%, 대기업은 80% 이상 자부담이 필요하다. 총 사업비는 정부 지원금과 자부담금을 합친 값이다.