소프트웨어 개발부터 운영까지, 공급망 전 단계에 보안체계 구축한다

과기정통부, SW 공급망 보안체계 구축 실증사업...핀시큐리티, 스패로우, 레드펜소프트 참여
제품·서비스 개발단계 ‘스패로우’, 운영단계 ‘레드펜소프트’ 솔루션 활용

[보안뉴스 김영명 기자] 과학기술정보통신부(장관 이종호, 이하 과기정통부)는 한국인터넷진흥원(원장 이원태, 이하 KISA)과 함께 소프트웨어(이하 SW) 개발, 시험, 유통(패치 포함), 운영 등 공급망 전 단계에 걸쳐 제품·서비스의 투명성을 확보하고, 체계적인 SW 공급망보안 관리체계 마련을 위한 실증사업에 착수한다고 밝혔다.

[이미지=gettyimagesbank]

이번 사업은 최근 사이버보안 위협이 SW 공급망에 집중되고 있어 이에 대한 체계적인 대응체계 수립 방안을 마련하고, 정보보안 전문인력 등이 부족한 중소기업들을 실질적으로 지원하기 위한 기반을 마련하기 위해 진행된다.

SW 공급망 보안 관리체계를 확보하기 위한 수단 중 하나로 SW 구성명세서(SW Bill of Materials, SBOM)가 크게 주목받고 있다. 이번 사업에서는 각 제품 및 서비스의 SBOM을 생성·분석해 보안 취약점을 발굴·조치하는 등 사이버보안 위협에 사전 대응하고, 침해사고 발생 시 즉각 조치, 중장기 대응 및 지속 모니터링 등의 보안 관리체계를 수립하기 위한 다양한 실증을 추진한다.

과기정통부와 KISA는 이번 사업의 결과를 기반으로 향후 SW 공급망 보안 관리체계를 수립하는 한편, 국내 SW 기업들이 제품을 수출할 때 SBOM 제출 의무화 등의 무역장벽을 극복할 수 있도록 SBOM 생성·분석, 보안조치 및 전문 컨설팅 체계를 마련할 계획이다.

SW 개발 및 패치 서버 등에 대한 SW 공급망 공격은 피해 범위가 넓고 크며, 연쇄적이고 지속적인 특성이 있는 반면에 SW 공급망 보안 관리체계를 잘 정립하면 사전 대응이 가능하고, 침해사고 발생 시 효과적으로 대응할 수 있다. 이처럼 침해사고에 대응하는 측면 외에도 기업 차원에서는 SW 공급망 전 단계에서 투명성을 확보해 자사 제품과 서비스에 대한 품질을 높이고 소비자 신뢰성을 확보할 수 있으며, 높아지고 있는 무역장벽에도 선제적으로 대응할 수 있다.

이번 사업에는 국내 정보보호 전문기업인 △핀시큐리티 △스패로우 △레드펜소프트 등 3사가 참여해 국산 보안 솔루션, 업무용 SW 등을 대상으로 개발부터 운영에 이르는 전체 공급망 체계를 분석한다. 이어서 공급망 전 단계에서 각 대상 SW의 SBOM 생성, 보안 취약점 분석 및 조치, 보안 컨설팅 등을 제공하게 된다.

▲SW 공급망보안 실증사업 추진 체계도[자료=과기정통부]

핀시큐리티의 주요 업무는 △정보보호 관리체계 인증 △모의해킹 △취약점 점검 △보안 감사 지원, 소스코드 진단 등 전문적인 정보보호 서비스 제공 등이며, 스패로우는 국내 최초 다양한 국내외 인증 획득과 함께 시큐어코딩 도구 Sparrow SAST/SAQT, 웹 취약점 분석 도구 Sparrow DAST, 오픈소스 관리 도구 Sparrow SCA 등 SDLC 전반에 걸쳐 DevSecOps를 구현할 수 있도록 기여하게 된다. 레드펜소프트는 엑스스캔 서비스를 통해 수요자(수요기업) 관점에서의 SW 공급망 공격 대응에 대한 요구사항 및 향후 대응방법론에 가이드라인을 제시할 예정이다.

제품·서비스 개발단계에서는 스패로우의 오픈소스 관리 솔루션 ‘Sparrow SCA’를 통해 SBOM 생성, 취약점 분석·조치 및 컨설팅 등을 수행한다. 특히, 취약점을 분석할 때는 보안 취약점 공통식별자 목록(Common Vulnerability Exposure, CVE) 등을 활용한다.

운영단계, 즉 수요 기업이 활용하는 제품·서비스에 대해서는 레드펜소프트의 ‘XSCAN’ 솔루션을 통해 같은 절차를 수행하고 결과를 비교하는 방법 등을 통해 유효성을 입증하는 등의 실증을 추진할 계획이다.

이번 사업의 실증 결과를 토대로 SBOM 기반의 보안 취약점 분석·조치, 개발·유통 환경의 보안대책을 포함하는 SW 공급망보안 가이드라인을 마련하는 등 국내 SW 기업들의 경쟁력 강화를 지원하기 위한 기반을 구축하고, 국민들이 안심하고 SW를 사용할 수 있는 환경을 만들어 갈 계획이다.

실증사업을 통해 확보되는 기업의 제품·서비스 등의 분석 데이터는 비식별 보안 처리해 향후 SW 공급망 보안 관리체계를 구축하기 위한 기초 데이터로 활용되며, 기업에서 협조받은 원천 정보는 실증 후 파기 또는 반환 조치한다.

과기정통부 정창림 정보보호네트워크정책관은 “최근 발생하는 공급망 보안 공격은 기업이 자체적으로 대응하기 어렵고 사회·경제적 피해도 커서 사전 대응체계 구축 등 SW 공급망 전체를 관리할 필요가 있다”고 강조했다. 이어 “과기정통부는 실제 산업 현장에서 체감할 수 있는 실효성 있는 SW 공급망 보안 관리체계를 구축할 계획”이라며 “이를 위해 SW 공급, 유통 및 운영 기업들의 많은 참여와 관심을 요청드린다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)