KISA, SW 공급망 보안 강화 위해 SBOM 기반 체계 본격 추진

납품부터 업데이트까지 뚫린다…SW공급망 보안 강화 나선 KISA

납품부터 업데이트까지 뚫린다…SW공급망 보안 강화 나선 KISA

 

• SW 공급망 위협의 심각성
  • 최근 사이버공격의 60% 이상이 SW 공급망 경유로 발생
  • 공격자는 시스템 정면공격보다 외부 협력사 및 오픈소스를 통한 우회 침투 전략을 사용
  • 악성코드가 정상 코드처럼 위장된 형태로 배포되어 탐지 어려움 증가
  • 공격 피해가 1개 기업을 넘어 전체 생태계로 확산되는 구조
• 공급망 보안을 위한 SBOM 도입 필요성
  • SW자재명세서(SBOM: Software Bill of Materials)는 SW 구성요소를 투명하게 식별·관리할 수 있는 체계
  • 오픈소스, 라이브러리, 상용 코드 등 모든 구성요소의 버전, 출처, 의존성을 기록함으로써 보안 사각지대 축소
  • 미국, EU 등 주요국은 SBOM 제출을 수출 요건으로 명시하며 글로벌 기준 강화 추세
  • 국내 기업이 수출 경쟁력 확보 및 인증 대응을 위해 SBOM 역량 확보가 시급
• KISA의 공급망 보안 지원 사업
  • 2025년 총 8개 과제를 선정해 과제당 최대 3억7500만원 지원
  • 개발사, 운영사, SI기업 등 공급망 참여 주체 전체가 컨소시엄 구성 가능
  • 기획, 개발, 운영 전 주기 단계에 걸쳐 SBOM 기반 보안체계 도입 유도
  • KISA 공급망안전정책팀이 중심이 되어 정책적 유도와 실무 지원 추진
• 정책 방향 및 산업적 시사점
  • SW 보안을 기능·성능과 동등한 핵심 경쟁력 요소로 재정의
  • 민감한 산업 분야(금융, 의료, 국방 등)에서는 SBOM 기반 평가 기준 도입 가능성 확대
  • 국내 디지털 산업의 공급망 신뢰성 제고와 글로벌 기준 충족을 동시에 달성 가능
• 결론
  • SW 공급망 공격은 탐지 회피성과 파급력이 높아 단일 기업의 대응으로 한계 존재
  • SBOM 도입은 공급망 전체의 투명성과 신뢰 확보를 위한 핵심 전략
  • 국가 차원의 지원과 민간의 자발적 참여를 통해 선제적 보안 체계 구축이 필요