[디지털데일리 최민지기자] 국가정보원(이하 국정원)은 소프트웨어(SW) 공급망 보안 로드맵을 내년 1월 대외적으로 발표할 예정이다.

국정원은 11일 서울 코엑스에서 열린 국제 사이버안보 행사인 ‘사이버 서밋 코리아(이하 CSK 2024)’에 참석해, SW 공급망보안 로드맵은 연내 마련 후 내년 1월에 발표하겠다고 밝혔다. 내년부터 2027년부터 점진적 계획을 추진한 후, 2027년 본격적으로 제도를 시행하겠다는 설명이다.

특히, 국가‧공공기관 SW 공급망 신뢰성을 강화하고 ‘민관 합동 SW 공급망보안 태스크포스(TF)’를 구성한다. 국정원뿐 아니라 과학기술정보통신부(이하 과기정통부), 디지털플랫폼정부위원회, 행정안전부, 국방부 등 유관부처 및 50여명 산하 협력 전문가들이 참여한다.

TF는 국가공급망 보안정책 관련 ‘정책분과’와 민간 산업화 지원 육성을 위한 ‘산업분과’로 구분된다. 각 분과는 4개의 워킹그룹을 운영한다.

국정원 주관 정책분과는 국가‧공공기관 SW 제품 도입‧운영을 위한 공급망 보안 기준과 보안대책을 강구할 예정이다. 워킹그룹은 ▲법제도 ▲보안지침 ▲안보위해 ▲위험관리로 이뤄진다.

‘법제도’ 워킹그룹에서는 미국‧유럽‧일본 등 주요국과 국내 법제도 동향을 비교 분석하고, 법제도 정비 방안을 꾀한다. 신뢰할 수 있는 SW 제품 인증 및 SW 개발 공급업체 지정 관리 방안도 고민한다. ‘보안지침’에서는 주요국 사이버‧공급망 지침과 국내 실무 지침을 비교 분석하고, 국가 공공기관에서 준수해야 할 공급망 보안 실무 지침 마련 방안을 찾는다.

‘안보위해’에서는 안보위해 외산 제품의 국내 유입을 식별하고, 위해성‧취약성을 검증해 차단하는 방법을 마련한다. ‘위험관리’에서는 국내외 공급망 보안 위기관리 대응체계 등을 연구한다.

과기정통부 주관 산업분과는 민간 산업화 지원 육성안을 마련하기 위해 ▲인프라 구축 ▲핵심산업 ▲교육‧훈련 ▲국제통상 워킹그룹으로 구성됐다.

‘인프라 구축’ 워킹그룹에서는 국내외 공급망 통합 보안 관리 사례를 분석하고 민간 기업 대상 위험 관리 인프라 구축 및 관리 기준 마련 등 공급망 보안 강화 방안을 강구할 예정이다. ‘핵심산업’에서는 주요국의 중요 소프트웨어 정의 및 산업계의 공급망 보안 강화 동향을 살펴보고 정보보호, 방산, 금융, 의료 등 보안이 주요한 산업의 참여를 유도하고 시범 사업 추진 등을 통해 국내 산업 저변을 점진적으로 확대할 방안을 꾀한다.

‘교육훈련’에서는 주요국의 교육 및 훈련 사례를 분석을 통해 민간 분야 공무원 인식을 제고하고, 공급망 보안 전문가를 양성 교육 방안을 찾는다. ‘국제통상’에서는 SW자재명세서(SBOM)‧자체 증명서 준비 등 국내 기업의 해외 진출 역량 강화 지원 방안을 연구한다. 오픈소스 컴플라이언스 역량 강화 지원 방법도 고민한다.

국정원 관계자는 “공급망 보안은 범위가 광범위하니, 로드맵 수립 과정에서 산학연 전문가 의견을 수렴하는 설명회 자리를 마련할 계획”이라며 “TF에서 적용되는 제품 범위를 정의하고, 방향을 정하게 될 것이다. 국제적 동향을 살피고, 지속적으로 해외 주요국과 협력할 것”이라고 말했다.

한편, 이날 국정원은 공급망 보안 관련 주요 보안제도 개선 필요성을 지적했다. 국가정보보안 기본지침은 운용자 관점에서 마련됐기에 공급망 보안 관련 준수 활동이 반영돼 있지 않다. 이에 보안 주체를 개발 공급자로 확대한 실무지침이 필요하다는 주장이다.

또한, 안전한 SW 개발을 위한 보안 가이드라인이 있으나, 개발 과정의 준수활동만 있을 뿐 사이버위협으로부터 안전하게 보호하고 보안 취약점을 조치하는 활동은 제외돼 있다. SW 개발 전주기에서의 실무지침이 요구된다.

이와 함께 보안 적합성 검증제도 대상 재검토도 이뤄져야 한다고 보고 있다. 미국은 중요 소프트웨어를 재정의하고, 유럽연합(EU)는 디지털요소가 있는 제품 대상으로 공급망 보안 제도를 시행하고자 한다. 국내에서는 국가‧공공기관 도입 때 보안 기능이 있는 정보통신 제품을 대상으로 보안적합성을 검증한다.

국정원 측은 “미국과 EU와 비교해 적용범위에 차이점이 있다. 현재는 공공분야 도입 전 검증을 받아야 하는 제품으로. 보안 기능이 있는 제품으로만 제한하고 있는데 안보 위해성 및 공방 보안 관점에서 안전성 검증 적용 범위의 재검토가 필요하다”고 부연했다.

또, “국가 공공기관에 SW 제품 도입 전, 공급망 신뢰성을 확인하고 신규 위협 식별 때 즉각 대응하려면 SBOM 기반 자동화된 대응체계가 필요하다”고 덧붙였다. 관련해 정부는 SW 공급망 관리 방안을 담은 가이드라인을 발표한 바 있다.

앞서, 지난해 12월 기획재정부는 ‘공급망 안정화법’을 제정하고 지난 6월27일 시행됐다. 이 법에서 지정한 경제안보품목에는 사이버보안이 포함된다. 이에 따라 소프트웨어 공급망 관리 체계 구축을 지원 방안을 검토해야 하는 한편, 정부의 SW 조달 과정에서 안전한 SW 도입 및 신뢰할 수 있는 공급업체 지정 관리 방안을 마련해야 한다. 공급망 안정화 기본계획은 연말까지 수립될 예정이며, 사이버보안 관련 계획도 유관부처들과 협의해 정해질 방침이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -