[데이터넷] 과학기술정보통신부는 한국인터넷진흥원(KISA)과 소프트웨어 공급망 보안 관리체계 마련을 위한 실증사업에 착수한다고 27일 밝혔다.

이 사업은 소프트웨어 공급망 보안 중 소프트웨어 구성 명세서(SBOM)를 생성·분석하고, 보안 취약점 발굴·조치 등 사이버보안 위협 사전 대응을 위한 것이다. 또한 침해사고 발생 시 즉각 조치, 중장기 대응, 지속 모니터링 등의 보안 관리 체계 체계 수립까지 포함한다.

과기정통부와 KISA는 이 사업 결과를 기반으로 소프트웨어 공급망 보안 관리 체계를 수립하는 한편, 국내 소프트웨어 기업들이 해외 수출 시 SBOM 제출 의무화 등의 무역장벽을 극복할 수 있도록 SBOM 생성·분석, 보안조치, 전문 컨설팅 체계를 마련할 계획이다.

소프트웨어 공급망 보안은 소프트웨어 개발·유통사들도 공급망 전 단계의 투명성을 확보할 수 있어 제품·서비스에 대한 품질을 높이고, 소비자 신뢰를 확보할 수 있으며, 높아지는 무역장벽에도 선제적으로 대응할 수 있다.

이번 사업에는 국내 정보보호 전문기업인 핀시큐리티, 스패로우, 레드펜소프트가 참여해 국산 보안 솔루션, 업무용 소프트웨어 등을 대상으로 개발부터 운영에 이르는 전체 공급망 체계를 분석하고, 공급망 전단계에서 각 대상 소프트웨어에 대한 SBOM 생성, 보안 취약점 분석 및 조치, 보안 컨설팅 등을 제공한다.

소프트웨어 공급망 보안 실증 사업 중 제품·서비스 개발단계에서는 스패로우의 오픈소스 관리 솔루션 ‘스패로우 SCA’를 통해 SBOM 생성, 취약점 분석, 조치, 컨설팅 등을 수행한다. 취약점을 분석할 때는 보안 취약점 공통식별자 목록(CVE) 등을 활용한다.

수요 기업이 활용하는 제품·서비스에 대해서는 레드펜소프트의 ‘엑스스캔’이 검증한다. 공급받은 소프트웨어 코드에 취약점이나 공격에 악용될 코드가 있는지 확인한다.

이번 실증 사업을 통해서 확보되는 기업의 제품·서비스 등의 분석 데이터는 비식별 처리하며, 향후 소프트웨어 공급망 보안 관리 체계 구축을 위한 기초 데이터로 활용된다.

김선애 기자 다른기사 보기