‘소프트웨어 공급망 보안 가이드라인 1.0’ 발표

정부가 중소기업 소프트웨어(SW) 공급망 보안 역량 강화를 위한 지원을 확대한다.

과학기술정보통신부는 국가정보원·디지털플랫폼정부위원회와 함께 민관 협력을 통해 ‘SW 공급망 보안 가이드라인 1.0’을 마련했다고 12일 밝혔다.

이 같은 조치는 확산하고 있는 SW 공급망 사이버보안 위험과 미국·유럽 등 해외 주요국의 SW 구성요소 명세서(SBOM) 제출 의무화 등에 대응하기 위해 마련됐다. 가이드라인은 전체본(100 페이지)과 요약본(16 페이지)으로 구성됐다.

골자는 정부·공공 기관과 기업들이 SBOM 기반 SW 공급망 보안 관리체계를 도입하는 과정에서 시행착오를 줄일 수 있도록 돕는 것이다.

가이드라인에는 SBOM 유효성 검증, SW 구성요소 관리 요령 및 SBOM 기반 SW 공급망 보안 관리 방안 등이 수록됐다.

정부는 해당 가이드라인이 다양한 산업 분야에서 활용될 수 있도록 홍보한다는 방침이다.

특히, 디지털플랫폼정부 주요시스템(DPG Hub 등) 구축 시 SBOM을 시범 적용해 우수사례를 도출하는 등 지속해서 발전시킨다는 구상이다.

다만, SBOM 도입을 성급하게 추진하면 SW 개발기간 장기화, 원가 상승요인 등의 부작용을 초래할 수 있다는 지적이 나온다.

이에 정부는 기업들에 대한 SBOM 적용 지원을 강화하는 한편 SW 공급망 보안 저변을 확대할 계획이다. 또 향후 주요국의 제도화 동향과 국내 산업 성숙도를 고려해 점진적으로 제도화를 준비해나갈 예정이다.

이 밖에도 정부는 올해 하반기에는 산·학·연 전문가들이 참여하는 범정부 합동 TF를 구성한다. 특히, 세부적인 정부 지원 방안, 제도화 추진 방향 등에 대한 심도 있는 논의를 진행한 후 ‘SW 공급망 보안 로드맵’을 마련할 계획이다.

세종=정다운 기자 danjung638@viva100.com