[아이티데일리] 소프트웨어(SW)의 취약점을 이용해 정부·공공기관 및 기업의 내부망에 침투, 정보를 탈취하는 사이버 공격의 위험성을 알린 2020년 솔라윈즈(SolarWinds), 2021년 ‘로그포제이(Log4j)’, 2022년 카세야(Kaseya) 등의 사건 이후 전 세계적으로 'SW 공급망 보안'에 대한 대응 조치가 속속 마련되고 있다.

SW 공급망 공격은 공격 대상 SW를 사용하는 고객 기업·기관이 많을수록 피해 범위가 늘어나고, 빠르게 대응하지 못하면 연쇄적으로 피해가 발생할 수 있다. 최대 수년간에 걸쳐 지속적으로 문제를 일으킬 수도 있어 SW 개발사는 신속하게 취약점 패치를 제작하고 상황을 고객에게 빠르게 전파하는 등 효과적으로 대응해야 한다. SW 사용 고객도 문제 상황을 즉시 인지하고 패치 적용이나 문제가 없는 버전으로의 롤백 등 대처 방안을 고민해야 한다.

특히 최근 오픈소스 활용이 SW 개발의 주류가 된 상황이라는 점은 더욱 문제를 복잡하게 한다. 수백여 개에 달하는 오픈소스 컴포넌트 중 문제가 보고된 것은 없는지를 파악하고 있어야 직면한 위협에 대응할 수 있는데, 대부분 이를 제대로 추적하고 있지 않기 때문이다. 이 때문에 오픈소스는 SW 공급망을 노리는 사이버 공격의 시작점이 되고는 한다.

따라서 SW 공급망 보안을 강화하기 위해서는 SW 개발과 테스팅, 배포에서부터 예방적으로 보안을 강화하는 것뿐만 아니라, 개발한 SW의 취약성을 식별하고 위험을 최소화하는 것을 돕는 기술과 도구를 적극적으로 활용해야 한다. 이러한 맥락에서 가장 주목받는 것이 바로 ‘SW 자재명세서(Software Bill of Materials; SBOM)’다. 오픈소스 라이브러리와 프레임워크, 기타 구성 요소를 포함하는 SW 제품 전체 구성요소에 대한 정보를 포함하는 SBOM을 작성, 활용함으로써 취약점을 신속하게 파악하고 조치할 수 있기 때문이다.

미국은 2021년 5월 행정명령을 통해 정부 공공조달 SW에 SBOM 제출을 의무화했다. 이후 최근까지 이와 관련한 세부적 보완조치들이 이어지고 있다. 유럽연합(EU)이 2027년 시행을 추진하는 사이버 복원력 법안(Cyber Resilience Act)에도 SBOM 작성 등의 내용이 포함돼 있다.

이 같은 세계적 추세 속에서 우리나라도 지난 5월 중순 디지털플랫폼정부위원회와 국가정보원, 과학기술정보통신부 등 정부 관계부처가 공동으로 ‘SW 공급망 보안 가이드라인 1.0’을 발표했다. 정부의 해당 가이드라인은 확산 중인 SW 공급망 위협과 이에 대응하는 미국·유럽 등 주요국의 SBOM 제출 의무화 등과 관련, 정부·공공기관 및 기업이 자체적으로 SW 공급망 보안을 관리할 수 있는 역량을 갖출 수 있도록 돕고자 마련됐다. 국내 보안 담당자들의 인식 제고와 관련 준비에 도움이 될 것으로 기대된다.

하지만 무엇보다 중요한 것은 SBOM 작성과 활용을 포함하는 SW 공급망 보안을 혼란과 충격 없이 내재화할 수 있도록 하는 제도적 뒷받침이다. 그리고 그 제도는 글로벌 스탠다드 따라잡기에만 급급해서는 안 된다. SBOM 솔루션을 개발하려는 개발사부터, 공급망 보안 강화를 위해 SBOM 솔루션을 도입하려는 취약 중소업체들 모두가 상생할 수 있는 지원 정책이 필요하다. 연말까지 진행하는 논의를 통해 우리나라 SW 공급망 보안과 관련, 업계 모두가 만족할 수 있는 정책을 수립하기를 기대한다.