과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’)는 한국인터넷진흥원(원장 이원태, 이하 ‘KISA’)과 함께 소프트웨어(SW) 개발, 시험, 유통(패치포함), 운영 등 공급망 전단계에 걸쳐 제품・서비스의 투명성을 확보하고, 체계적인 SW 공급망 보안 관리체계 마련을 위한 실증사업에 착수한다고 밝혔다.
SW공급망 보안 관리체계를 확보하기 위한 수단 중 하나로 SW 구성 명세서(SBOM : SW Bill of Materials)가 크게 주목 받고 있으며, 본 사업에서는 각 제품・서비스의 SBOM을 생성・분석하여 보안 취약점을 발굴・조치하는 등 사이버보안 위협에 사전 대응하고, 침해사고 발생 시 즉각 조치, 중장기 대응 및 지속 모니터링 등의 보안 관리 체계를 수립하기 위한 다양한 실증을 추진한다.
SW 개발 및 패치 서버 등에 대한 SW 공급망 공격은 피해 범위가 넓고 크며, 연쇄・지속적인 특성이 있는 반면에 SW공급망 보안 관리 체계를 잘 정립하면 사전 대응이 가능하고, 침해사고 발생 시 효과적으로 대응할 수 있다.
이번 사업에는 국내 정보보호 전문기업인 ‘핀시큐리티’,‘스패로우’,‘레드펜소프트’가 참여하여 국산 보안 솔루션, 업무용 SW 등을 대상으로 개발부터 운영에 이르는 전체 공급망 체계를 분석하고, 공급망 전단계에서 각 대상 SW에 대한 SBOM 생성, 보안 취약점 분석 및 조치, 보안 컨설팅 등을 제공한다.
제품・서비스 개발단계에서는 스패로우의 ‘Sparrow SCA’라는 오픈소스 관리 솔루션을 통해 SBOM 생성, 취약점 분석・조치 및 컨설팅 등을 수행하며, 특히 취약점을 분석할 때는 보안 취약점 공통식별자 목록(CVE, Common Vulnerability Exposure) 등을 활용한다.
운영단계 즉 수요 기업이 활용하는 제품・서비스에 대해서는 레드펜소프트의 ‘XSCAN’이라는 솔루션을 통해 같은 절차를 수행하고 결과를 비교하는 방법 등을 통해 유효성을 입증하는 등의 실증을 추진할 것이다.
본 사업의 실증 결과를 토대로 SBOM 기반의 보안 취약점 분석・조치, 개발・유통 환경의 보안대책을 포함하는 SW 공급망보안 가이드라인을 마련하는 등 국내 SW 기업들의 경쟁력 강화를 지원하기 위한 기반을 구축하고, 국민들이 안심하고 SW를 사용할 수 있는 환경을 만들어 갈 계획이다.
아울러 본 실증 사업을 통해서 확보되는 기업의 제품・서비스 등의 분석 데이터는 비식별 보안 처리하여 향후 SW 공급망 보안 관리 체계를 구축하기 위한 기초 데이터로 활용되며, 기업으로부터 협조받은 원천 정보는 실증 후 파기 또는 반환 조치한다.
과기정통부 정창림 정보보호네트워크 정책관은 “최근 발생하는 공급망 보안 공격은 기업이 자체적으로 대응하기 어렵고 사회·경제적 피해도 커서 사전 대응체계 구축 등 SW 공급망 전체를 관리할 필요가 있다”고 강조하면서
“과기정통부는 실제 산업 현장에서 체감할 수 있는 실효성 있는 SW 공급망 보안 관리체계를 구축할 계획이며, 이를 위해 SW 공급, 유통 및 운영 기업들의 많은 참여와 관심으로 요청드린다.”고 말했다.