[디지털데일리 최민지기자] 정부가 ‘소프트웨어(SW) 공급망 보안 가이드라인 1.0’을 발표했다. SW부품명세서(SBOM) 구성 방안과 함께 SW 공급망 거점 및 SW공급망 위기관리센터 구축안이 제시됐다. 이와 동시에 SW 기밀 유출 우려에 대해선 신뢰‧기밀 SBOM 검진박스를 활용하자는 의견도 나왔다.

디지털플랫폼정부위원회, 국가정보원, 과학기술정보통신부는 한국인터넷진흥원과 함께 18일 국가과학기술자문회의 대회의실에서 ‘SW 공급망 보안 가이드라인 간담회’를 개최했다.

SW 공급망 공격은 크게는 안보 위협까지 이어질 수 있는 만큼, 전세계는 관련 정책 마련에 분주한 상황이다. 이에 한국 정부도 SW공급망 보안 가이드라인을 통해 대응하겠다는 복안이다.

미국 백악관은 연내 연방정부 납품 SW 보안 강화를 위한 지침 준수와 자체 증명 제출을 연내 시행한다. 식품의약청(FDA)은 의료기기 시장 출시 전 안전한 제품 개발 체계 구현 및 SBOM을 요구하고 있다. 일본은 의료‧자동차 분야에서 SBOM 실증과 적용을 확대하고, 통신분야 공급망에 SBOM 도입도 검토 중이다. 지난달 유럽연합(EU) 의회는 디지털기기 사이버복원력법안(CRA)을 확정‧승인한 바 있다.

SBOM은 SW에 어떤 구성요소가 들어가 있는지 알려주는 SW부품명세서다. 식품을 판매할 때 영양이나 재료 정보 등을 기재하는 것과 비슷하다.

◆SBOM 구성방안 제시, 위기관리센터‧공급망거점 구축

이날 최윤성 고려대 교수는 “소프트웨어 공급망을 이용한 공격은 기존 방어 체계를 넘어, 계속 진화‧발전하고 있다. 새로운 공격에 대비한 체계를 만들어 준비해야 한다”며 “SBOM은 개발자와 구매자, 운영자 사이 정보 비대칭성을 해결하고, 취약점 등 문제가 생길 때 빠르게 대응조치를 할 수 있다”고 말했다.

이어 “미국 국가안보국(NSA) 가이드라인을 보면, SW 개발자, 공급자, 운영자마다 해야 하는 보안활동이 있다. 중요한 부분은 안전한 소프트웨어는 개방형 보안에서 시작된다는 것”이라고 덧붙였다.

지금까지는 개발자, 공급자, 운영자는 각각의 보안활동을 진행했는데, 앞으로는 유기적으로 연결돼야 한다는 것이다. 이를 위해 SBOM이 필요하며, 이는 SW 투명성을 올릴 수 있다는 설명이다.

SBOM 구성방안에 따르면 SBOM 콘텐츠 수집을 위해 SW 구성요소를 선정하고, 타사 SBOM 콘텐츠를 요청할 수 있다. 서로 정보를 공유해 확보한 SBOM 정보를 기반으로 자동 업데이트하면서, SW 위험평가‧변경관리, SBOM 구성요소 모니터링에 쓰인다. 향후엔 새로운 취약점 정보가 나왔을 때 즉각적으로 대응할 수 있는 취약점 공유 체계가 구축되고, 이를 통해 빠르고 쉽게 조치할 수 있다는 설명이다.

최 교수는 “자체적으로 개발하지 않은 상용 소프트웨어개발키트(SDK), 애플리케이션 프로그래밍 인터페이스(API), 외부 라이브러리를 SBOM으로 먼저 관리해야 한다”며 “공개SW인 오픈소스는 현재 시점에서 고려사항이 많아, 아직은 시장 자율성에 맡기고 신뢰성 확보 방안을 면밀히 고민해야 한다”고 부연했다.

이번 가이드라인에서는 SBOM 정보를 스스로 유통하고, 정부는 산업별 SW 공급망을 지원하는 거점 설립을 제안하고 있다. 각 SW공급망 거점 위에는 SW공급망 위기관리센터가 위치한다. 센터는 SW 공급망 보안 관련 체계적인 로드맵을 수립하고, 이해관계자와 정보 교류, 교육‧홍보 등을 통해 정보 격차를 해소한다. 이는 공급망 신뢰성과 복원력을 높일 수 있을 것이란 기대다.

최 교수는 “규제가 아니라 새로운 위기가 발생했을 때 빠르게 조치를 취할 수 있도록 체계적으로 자동화해서 지원해주는 역할을 의미한다”며 “기업의 지적 재산권 침해가 발생하지 않도록, 정부는 공급망 생태계에 최소한의 지원 기능을 바탕으로 관여하는 것이 중요한 포인트”라고 강조했다.



◆SW 구성요소 공개에 기밀유출 우려, 안전한 활용 어떻게?

다만 SW공급망 보안을 강화하기 위해 SBOM을 도입할 때, SW기업들은 제품 구성요소를 공개해야 하기 때문에 비밀정보 유출을 우려할 수밖에 없는 상황이다.

이에 대해 강병훈 KAIST 교수는 SW구성요소를 보여주기 위해 SBOM을 하는 게 아니라, 취약점 관리를 잘 하기 위해 SBOM을 활용한다는 점을 짚었다.

강병훈 교수는 “처음부터 안전하고 완벽한 SBOM 생성은 불가하다. 모든 구성요소를 다 보여주지도 못하고, 각 구성요소에 해당되는 취약점은 시간이 지남에 따라 생기고 변한다”며 “그러나 지속적인 모니터링 등을 통해 SBOM의 안전한 활용은 가능하다”고 말했다.

이어 “식품 영양정보는 어떤 재료가 포함됐는지에 따라 선전용이 될 수 있지만, SW는 기업 비밀정보다. 구성요소를 주게 된다면 리버스 엔지니어링도 가능하다”며 “취약점을 관리하는 측면 이상의 명세서를 공개하는 방향은 매우 심한 반발을 일으킬 것”이라고 지적했다.

강 교수에 따르면 기밀성이 보장되는 컴퓨팅 서버를 통해 안전성을 강화할 수 있다. 기업과 구성요소별 취약점 확인 서비스 가운데 기밀성이 보장된 컴퓨팅 서버가 있다면, 해당 서버 관리자조차 연산 내용을 메모리 등에서 볼 수 없다는 주장이다.

강 교수는 “SW 구성 내역은 기업비밀 정보로 누구에게도 공개가 안되며, 동시에 여러 취약점 데이터베이스(DB) 서비스 제공 제품 또한 기밀 컴퓨팅 내에서 안전하게 DB가 노출되지 않아야 한다”며 “날씨 예보를 하듯, 공공에서 SW 안전문자 또는 익명통보를 하는 시스템을 구성할 수 있는 기밀 컴퓨팅 기반 SBOM의 안전한 활용이 필요하다”고 제언했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -