본문으로 건너뛰기
피드

SW 공급망 보안 로드맵 임박 — 2027년 공공 SBOM 제출 의무화 추진

security 약 5분
vote
0
댓글
북마크

정부가 SW 공급망 보안 강화 로드맵을 이달 말~내달 초 공개 예정. 개발 중 SW의 90%가 오픈소스를 사용하는 가운데, 매년 공급망 공격이 50%+ 증가하는 상황에서 2027년까지 공공 IT 시스템 SBOM 제출 제도화를 추진함.

  • 1

    개발 중 SW의 90%가 오픈소스 사용 — 공급망 보안 관리 책임이 모호한 구조적 문제

  • 2

    매년 SW 공급망 공격 50% 이상 증가, 동시다발 피해·모방 해킹이 핵심 위협

  • 3

    2027년까지 공공 IT 시스템 SBOM 제출 제도화 추진, KISA 118개 점검 항목 체크리스트 배포

SW 공급망 보안, 왜 지금 문제인가

  • 정부가 AI 리스크 대응 차원에서 SW 공급망 보안 강화에 속도를 내고 있음
  • 'SW 공급망 보안 강화 로드맵'을 통해 단계별 보안 강화를 추진함
  • 오픈소스 활용이 급격히 확대되면서 공급망 리스크가 업계 전반의 구조적 문제로 부상함
    • 개발 중인 SW의 90%가 오픈소스를 사용 중임
    • 오픈소스는 초기 비용 부담을 낮출 수 있어서 스타트업·중소기업에서 특히 많이 채택함
  • 오픈소스의 근본적 문제점
    • 개발 주체가 분산돼 있어 검증·관리 책임이 불명확함
    • SW 공급망은 기획부터 폐기까지 전주기를 포괄하는데, 경제적 이유로 오픈소스 채택이 늘면서 구조적 복잡성이 계속 증가 중임
    • 취약점 발생 시 신속 대응이 어렵고, 패치 적용·영향 분석에 시간이 많이 소요됨

공급망 공격의 현주소

  • 국가정보원에 따르면 매년 SW 공급망 공격이 50% 이상 증가하고 있음
  • 공급망 공격의 핵심 위협 세 가지
    • 동시다발적 피해 — 하나의 취약점으로 해당 SW를 쓰는 모든 조직이 동시에 영향 받음
    • 사고 대응 어려움 — 패치나 앱 차단을 만들고 적용하는 데 오랜 시간이 필요함
    • 모방 해킹 — 공격 방법 노출 시 모방 해킹으로 사고가 지속적으로 이어짐
  • 과거에는 운영자가 보안을 도맡았지만, 현재는 공급망 보안관리 체계로 전환됨
    • 안전한 SW 개발·제품 도입·보안 배치 등 대응 중심으로 변화함

정부 대응 — 단계적 로드맵 추진

  • 작년 5월: 공급망 보안 가이드라인 발표, SW 공급망 보안관리의 기본 원칙과 기준 제시
  • 작년 10월: '범부처 정보보호 종합대책'에서 SW 공급망 보안 강화를 세부 과제로 포함

⚠️주의

> 2027년까지 공공 IT 시스템 대상 SBOM 제출 제도화가 추진됨. 공공 SI 관련 개발팀이라면 데드라인을 의식하고 준비를 시작해야 할 시점임.

  • KISA(한국인터넷진흥원)가 기업 자체 점검용 체크리스트를 배포함
    • 국가·산업 등 항목별 규제를 분석해 총 8단계로 분류
    • 총 118개 상세 점검 항목을 제시, 상세 해설서는 올해 발간 예정
  • SW 공급망 보안 강화 로드맵은 이달 말~내달 초 공개 예정
    • 공개 이후 국가 공공기관 도입을 위한 KS 기반 표준도 제시될 계획임

글로벌 규제 흐름과 국내 영향

  • 해외에서는 EU CRA, 미국 EO 14028 등 여러 법령을 통해 공급망 보안 규제를 강화하는 추세임
  • 유지연 상명대 교수 의견
    • EU·미국 규제는 글로벌 공급망 전체에 적용됨 — 무역 교류에 직접 영향
    • 국내에서 검증·조치를 취하지 않으면 유럽·미국과의 무역 교류가 제한될 수 있음
    • 정부는 규제 대응과 산업 육성을 병행하는 투트랙 전략을 추진할 필요가 있음

기술 맥락

SBOM(Software Bill of Materials)은 소프트웨어에 포함된 모든 구성 요소를 나열한 목록이에요. 식품 성분표처럼, 어떤 오픈소스 라이브러리가 들어갔는지 추적할 수 있게 해주는 거든요. Log4Shell 같은 취약점이 터졌을 때 "우리 시스템에 해당 라이브러리가 있나?"를 즉시 확인하려면 SBOM이 필수예요.

공급망 공격은 타깃을 직접 공격하지 않고, 타깃이 의존하는 라이브러리나 빌드 도구를 오염시키는 방식이에요. SolarWinds 사태처럼 한 곳만 뚫려도 그 SW를 쓰는 수천 개 조직이 동시에 피해를 입게 되거든요.

KISA의 118개 점검 항목은 개발부터 배포까지 공급망 전 단계를 8개 영역으로 나눠 점검하는 체크리스트예요. 공공 프로젝트에 참여하는 개발팀이라면 이 항목들을 기준으로 내부 보안 프로세스를 정비해두는 게 좋아요. 2027년 SBOM 제출 의무화가 시행되면 이 체크리스트가 사실상 컴플라이언스 기준선이 될 가능성이 높거든요

EU CRA, 미국 EO 14028 등 글로벌 규제가 강화되는 상황에서 한국도 SBOM 의무화에 나서는 건 불가피한 흐름. 공공 SI를 하는 개발팀이라면 2027년 데드라인을 의식해야 할 시점.

댓글

댓글

댓글을 불러오는 중...

security

엘에이 경찰, 사생활 침해 논란 끝에 플록 번호판 감시 계약 종료

엘에이 경찰이 번호판 인식 카메라 업체 플록 세이프티와의 3년 계약을 연장하지 않기로 했어. 시민권, 프라이버시, 데이터 보관과 공유 문제를 해결하지 못했다는 게 핵심 이유야. 플록은 미국 전역에 최소 8만 대 카메라망을 깔아 경찰과 연방기관이 차량을 추적할 수 있게 해왔고, 오탐·보안 사고·이민 단속 악용 의혹까지 겹치며 압박이 커졌어.

security

크로미움 148부터 Math.tanh 한 번으로 운영체제 지문이 새는 문제

크로미움 148 이후 V8이 Math.tanh 계산을 자체 구현 대신 운영체제의 수학 라이브러리에 맡기면서, 같은 입력값도 리눅스·맥·윈도우에서 마지막 비트가 달라지는 지문 신호가 생겼다. 이 차이는 User-Agent로 맥이라고 주장하면서 리눅스 수학 결과를 내는 식의 위장을 바로 들키게 만든다. CSS 삼각함수와 웹 오디오까지 보면 브라우저 수학 경로가 꽤 복잡하게 갈라지고, 제대로 흉내 내려면 실제 운영체제 라이브러리의 비트 단위 동작까지 맞춰야 한다.

security

출입통제도 클라우드 구독제로 간다…제로트러스트·AI 분석이 승부처

기업 출입보안이 사업장별 서버를 두는 방식에서 클라우드 기반 서비스형 출입통제(ACaaS)로 옮겨가고 있다. 시장은 2026년 17억8000만 달러에서 2030년 31억9000만 달러로 커질 전망이고, 제로트러스트·모바일 인증·AI 출입 분석·스마트빌딩 통합이 핵심 경쟁 포인트로 꼽힌다.

security

AWS·구글 클라우드, 양자컴퓨터 대비해 암호 체계 갈아엎는 중

AWS와 구글 클라우드가 양자컴퓨터 시대를 대비해 기존 공개키 암호와 양자내성암호를 함께 쓰는 하이브리드 전환을 시작했다. 핵심 배경은 지금 훔친 암호문을 나중에 양자컴퓨터로 푸는 ‘선수집·후해독’ 공격이고, 국내도 통신·금융·국방 등 5개 분야에 45억원을 투입해 실증에 들어간다.

security

보안 점검 맡긴 AI 에이전트가 악성코드를 직접 실행할 수 있다는 경고

AI 보안 에이전트가 저장소를 검사하다가 README 같은 문서에 숨은 프롬프트 인젝션에 속아 악성 바이너리를 실행할 수 있다는 연구가 나왔다. 클로드 코드와 코덱스의 자동 모드처럼 승인 없이 명령을 수행하는 구성에서 문제가 재현됐고, 여러 모델과 공급업체를 가로질러 같은 패턴이 통했다는 점이 핵심이다.