보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

2024년도 제1차 SW 공급망 보안 포럼에서의 주요 논의사항 3가지

입력 : 2024-05-29 16:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
산·학·연과 ‘소프트웨어 공급망 보안 가이드라인(안내서) 1.0’ 확산방안 논의
보안 전문인력, 중소기업 지원방안, SBOM·SW 개발 환경 보안점검 목록 활용방안 등


[보안뉴스 김경애 기자] ‘소프트웨어 공급망 보안 가이드라인(안내서) 1.0’의 확산방안을 논의하는 자리가 마련돼 이목이 집중되고 있다. 특히 이날 회의에서는 △보안 전문인력 △초기 투자 비용이 부족한 중소기업 등에 대한 지원방안 △SBOM 및 SW 개발 환경 보안점검 목록의 활용 방안 등에 대한 상세 정보를 공유하고, 향후 발전방향이 논의됐다.

▲‘SW 공급망 보안 가이드라인’ 인쇄본(전체본, 요약본)


과학기술정보통신부(장관 이종호, 이하 과기정통부)는 한국인터넷진흥원(원장 이상중, 이하 KISA), 정보통신산업진흥원(원장 허성욱, 이하 NIPA) 등과 함께 29일 KISA 서울청사에서 2024년도 제1차 SW 공급망 보안 포럼을 개최하고, 지난 5월13일에 공개한 ‘SW 공급망 보안 가이드라인(안내서) 1.0 (이하 ‘가이드라인’)’의 체계적인 확산방안을 논의했다고 밝혔다.

과기정통부 관계자는 “그동안 포럼을 중심으로 미국, 유럽 등 주요국의 SW 구성요소 명세서(SBOM, SW Bill of Materials) 도입을 위한 제도화 동향을 공유하고, 국내 정부·공공기관 및 기업 등의 현장에 적용하기 위한 체계적인 방안을 마련하기 위해 노력해 왔다”며 “올해 처음 개최되는 포럼은 산·학·연·관 전문가를 중심으로 가이드라인의 주요 내용을 공유하고, 향후 정부·공공 및 기업 등 다양한 환경에 효과적으로 확산시키기 위한 방안을 논의하기 위해 개최됐다”고 밝혔다.

가이드라인 집필에 직접 참여한 고려대학교 최윤성 교수, 한남대학교 이만희 교수, KAIST 강병훈 교수가 가이드라인 주요 내용 소개에 참여해 ‘SBOM 기반 SW 공급망 보안 관리체계’, ‘국내 SBOM 실증 결과’와 ‘SBOM의 안전한 활용방안’ 등을 공유했다.

이날 포럼 참석자들은 가이드라인의 주요 내용에 공감하면서 보안 전문인력, 초기 투자 비용이 부족한 중소기업 등에 대한 지원방안, SBOM 및 SW 개발 환경 보안점검 목록의 활용 방안 등에 대한 상세 정보를 공유하고, 향후 발전방향을 논의했다.

과기정통부 관계자는 “SW 개발기업이 협력센터, 협력기업을 통해 별도의 보안 전문인력이나 시설 구축하지 않아도 SW 보안체계를 지원하는 방향으로 논의됐다”며 “기존의 중소기업이나 SW 기업들은 개발 전문인력 확보에 집중돼 있다 보니 상대적으로 보안 전문인력이 부족한 상황으로 2~3개 비즈니스 기업들이 협력체계를 구축하면, 그중 대표 1개 기업이 SBOM 기반의 보안 취약점 분석도구 툴을 이용해 보안 취약점을 찾아 정보 공유 및 개선을 요구하는 방향으로 활성화될 수 있다”고 밝혔다.

이를테면 판교허브지원센터의 IoT 보안 테스트베드 시설의 SBOM 생성도구를 이용하면 보안 취약점을 분석할 수 있다. 이는 SW 특성상 분업화돼 있다 보니 협력체계, 거점기업 중심으로 SBOM 기반의 공급망 체계를 운영한다면 별도의 구축비용을 들이지 않고 효율적으로 확산할 수 있다는 얘기다.

과기정통부 정창림 정보보보호네트워크정책관은 “SBOM 기반 SW 공급망 보안을 통해 국산 SW의 품질을 개선하고, 공급망 전체의 투명성을 높여 국내 기업의 경쟁력을 확보할 수 있다”고 강조하면서 “기업들이 큰 부담 없이 SW 기획, 개발 단계에서부터 SW 공급망 보안이 적용될 수 있도록 현장 수요 맞춤형 지원에 노력을 아끼지 않겠다”고 말했다.

한편 2020년 이후 증가하고 있는 소프트웨어(SW) 개발-유통-운영 등 SW 공급망에 대한 사이버위협에 체계적으로 대응하기 위해 과기정통부와 KISA는 2022년 10월 ‘SW 공급망 보안 포럼’을 발족했다.

현재 정부는 ‘SW 공급망 보안 가이드라인 1.0’ 인쇄본 파일을 과기정통부, 국가정보원, 디지털플랫폼정부위원회 등 정부기관과 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA) 등 공공기관 및 한국정보보호산업협회(KISIA), 한국소프트웨어산업협회(KOSA) 등 협단체 누리집을 통해서 자유롭게 내려받을 수 있도록 지원하고 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)