[뉴스토마토 이지은 기자] 정부가 국산 소프트웨어(SW)가 미국·유럽 등 해외 주요국의 SW 구성요소 명세서(SBOM) 제출 의무화에 대응할 수 있도록 SW 공급망 보안 가이드라인 1.0을 마련했습니다. 추후 제도화로도 진화를 계획 중인데요. 하반기에는 범정부 합동 태스크포스(TF) 구성에도 나선다는 방침입니다. 

 

과학기술정보통신부와 국가정보원, 디지털플랫폼정부위원회는 12일 민관 협력을 통해 SW 공급망 보안 가이드라인 1.0을 마련했다고 밝혔습니다. 

 

 

확산되고 있는 SW 공급망 사이버보안 위험과 미국·유럽 등 해외 주요국의 SW 구성요소 명세서(SBOM) 제출 의무화 등에 대응해 정부·공공 기관과 기업들이 자체적인 SW 공급망 보안 관리역량을 갖출 수 있도록 지원하기 위해 마련됐는데요. 

 

미국은 2021년 5월 행정명령을 통해 연방정부에 납품되는 SW의 SBOM 제출을 발표한 이후 지난 3월 이를 보완하는 보안관리 자체증명서를 확정하고, 본격 시행을 앞두고 있습니다. 유럽 또한 올해 승인 절차를 거쳐 2026년 이후 시행될 전망입니다. 

 

 

가이드라인은 100여 페이지의 전체본과 16페이지의 요약본으로 제공됩니다. 정부·공공 기관과 기업들이 SBOM 기반 SW 공급망 보안 관리체계를 도입하는 과정에서 시행착오를 줄일 수 있도록 SBOM 유효성 검증, SW 구성요소 관리 요령, SBOM 기반 SW 공급망 보안 관리 방안 등을 상세하게 수록했습니다. 

 

아울러 정부는 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW 공급망 보안 관리체계를 구축하고 기업 지원 서비스를 제공하고 있습니다. 

 

정부는 이 가이드라인이 다양한 산업분야에서 활용될 수 있도록 홍보하는 한편, 디지털플랫폼정부 주요시스템 구축 시 SBOM을 시범 적용해 우수사례를 도출해 발전시켜 나간다는 계획입니다. 

 

아울러 SW 공급망 보안 로드맵 마련을 위해 하반기에는 TF 구성에도 나설 계획인데요. 

 

SBOM 도입 등의 제도화는 필요하지만, 체계적인 준비 없이 제도를 성급하게 도입할 경우 SW 개발기간이 장기화되고, 원가 상승요인으로 작용해 기업들의 부담 요인이 될 수 있습니다. 따라서 기업들에 대한 SBOM 적용 지원을 강화하면서 SW 공급망 보안 저변을 확대하고, 향후 주요국의 제도화 동향과 국내 산업 성숙도를 고려하며 점진적으로 제도화를 준비해 나간다는 것이죠. 

 

이를 위해 하반기에는 산·학·연 전문가들이 참여하는 범정부 합동TF를 구성해 세부적인 정부지원 방안, 제도화 추진방향 등에 대한 심도 있는 논의를 진행, SW 공급망 보안 로드맵을 마련할 방침입니다. 

 

이지은 기자 jieunee@etomato.com