"SW 공급망 보안이 위험하다"…KISA, 보안 지원사업 확대

소프트웨어 공급망의 보안 역량을 강화하기 위해 정부가 소프트웨어 자재명세서(SBOM, 소프트웨어에 포함된 구성요소 목록) 기반 보안 체계 구축 지원을 확대한다.

16일 한국인터넷진흥원(KISA)은 다음 달 9일까지 40억원 규모의 '소프트웨어 공급망 보안 모델 구축 지원' 사업에 참여할 기업을 모집한다고 밝혔다.

지난해까지 소프트웨어 개발·공급 기업을 중심으로 진행됐지만, 올해는 소프트웨어를 도입해 운영하는 기업도 참여할 수 있다. 지원 범위가 확대된 배경에는 공급망 공격이 빠르게 늘고 있다는 정부의 판단이 있다. 협력사·외주 개발사·오픈소스 등 다양한 구성요소로 만들어지는 소프트웨어 특성상 한 기업이 해킹되면 관련 기업 전체로 피해가 확산할 수 있다는 것이다.

올해 사업은 글로벌 공급망 규제에 대응하고 취약점 관리 고도화 등을 준비하는 '공급망 보안 관리체계' 분야(6개 과제)에서 과제당 최대 3억을 지원한다. 소프트웨어를 조직에 도입해 운영하는 기업이 SBOM으로 신규 위협을 모니터링하는 '공급망 위협 모니터링 및 대응체계' 분야(2개 과제)는 과제당 최대 5억원을 지원할 예정이다.

KISA는 기업 내부에 SBOM 기반 소프트웨어 공급망 보안 관리체계를 도입해 라이선스 위반이나 보안취약점을 빠르게 식별할 수 있도록 도울 계획이다. 보안성을 검증할 수 있는 소프트웨어 구성분석(SCA) 도구와 서버, 데이터베이 등 장비와 인프라도 지원할 예정이다.

이동화 KISA AX 공급망보안정책팀장은 "개발 기업뿐 아니라 운영·판매 기업도 함께 참여해 개발부터 운영까지 전 과정에서 SBOM을 어떻게 활용할지 고민해야 할 시점"이라고 했다.

이은서 기자 libro@asiae.co.kr