정부, SW 공급망 보안 가이드라인 마련…13일부터 무료 배포

과학기술정보통신부 정부세종청사. ⓒ데일리안DB

과학기술정보통신부와 국가정보원, 디지털플랫폼정부위원회가 민·관 협력을 통해 ‘소프트웨어(SW) 공급망 보안 가이드라인 1.0’을 마련했다고 12일 밝혔다.

가이드라인은 과기정통부, 국정원, 디플정위와 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호산업협회(KISIA) 등 정부·공공기관 홈페이지에서 오는 13일 오후 12시부터 무료로 내려받아 사용할 수 있다.

정부는 정부·공공 기관과 기업들이 SW 공급망 사이버보안 위험과 미국, 유럽 등 해외 주요국의 SW 구성요소 명세서(SW Bill of Materials, SBOM) 제출 의무화 등에 대응해 SW 공급망 보안 관리 역량을 갖출 수 있도록 지원하고자 가이드라인을 마련했다.

가이드라인에는 국산 SW에 대한 SBOM 실증과 SW 공급망 보안 테스트베드(판교) 시범 운영 결과 등이 반영됐다. 가이드라인은 전체본 100여 쪽과 요약본 16쪽으로 제공된다.

정부는 국내 중소기업들의 SW 보안을 지원하고자 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW 공급망 보안 관리체계를 구축하고 기업 지원 서비스를 제공하고 있다.

특히 가이드라인에는 정부·공공 기관과 기업들이 SBOM 기반 SW 공급망 보안 관리 체계를 도입하는 과정에서 시행착오를 줄일 수 있도록 ▲SBOM 유효성 검증 ▲SW 구성요소 관리 요령 ▲SBOM 기반 SW 공급망 보안 관리 방안 등을 상세하게 수록했다.

정부는 해당 가이드라인을 다양한 산업분야에서 활용할 수 있도록 홍보한다. 나아가 디지털플랫폼정부 주요시스템(DPG Hub 등) 구축 시 SBOM을 시범 적용하고 우수 사례를 도출하면서 가이드라인을 발전시킬 예정이다.

다만 SBOM 도입 등 제도화는 필요하지만, 체계적인 준비 없이 제도를 성급하게 도입할 경우 SW 개발 기간이 장기화되고, 원가 상승 요인으로 작용해 기업들의 부담 요인이 될 수 있다.

이에 정부는 기업들에 대한 SBOM 적용 지원을 강화하면서 SW 공급망 보안 저변을 확대하고, 앞으로 주요국의 제도화 동향과 국내 산업 성숙도를 고려해 점진적으로 제도화를 준비할 방침이다.

또 올해 하반기에는 산·학·연 전문가들이 참여하는 범정부 합동 태스크포스(TF)를 구성해 세부적인 정부지원 방안, 제도화 추진방향 등에 대한 심도 있는 논의를 진행한 후 ‘SW 공급망 보안 로드맵’을 마련할 계획이다.