SW 공급망 보안 로드맵 임박 — 2027년 공공 SBOM 제출 의무화 추진

SW 공급망 보안, 왜 지금 문제인가

• 정부가 AI 리스크 대응 차원에서 SW 공급망 보안 강화에 속도를 내고 있음
• 'SW 공급망 보안 강화 로드맵'을 통해 단계별 보안 강화를 추진함
• 오픈소스 활용이 급격히 확대되면서 공급망 리스크가 업계 전반의 구조적 문제로 부상함
  • 개발 중인 SW의 90%가 오픈소스를 사용 중임
  • 오픈소스는 초기 비용 부담을 낮출 수 있어서 스타트업·중소기업에서 특히 많이 채택함
• 오픈소스의 근본적 문제점
  • 개발 주체가 분산돼 있어 검증·관리 책임이 불명확함
  • SW 공급망은 기획부터 폐기까지 전주기를 포괄하는데, 경제적 이유로 오픈소스 채택이 늘면서 구조적 복잡성이 계속 증가 중임
  • 취약점 발생 시 신속 대응이 어렵고, 패치 적용·영향 분석에 시간이 많이 소요됨

공급망 공격의 현주소

• 국가정보원에 따르면 매년 SW 공급망 공격이 50% 이상 증가하고 있음
• 공급망 공격의 핵심 위협 세 가지
  • 동시다발적 피해 — 하나의 취약점으로 해당 SW를 쓰는 모든 조직이 동시에 영향 받음
  • 사고 대응 어려움 — 패치나 앱 차단을 만들고 적용하는 데 오랜 시간이 필요함
  • 모방 해킹 — 공격 방법 노출 시 모방 해킹으로 사고가 지속적으로 이어짐
• 과거에는 운영자가 보안을 도맡았지만, 현재는 공급망 보안관리 체계로 전환됨
  • 안전한 SW 개발·제품 도입·보안 배치 등 대응 중심으로 변화함

정부 대응 — 단계적 로드맵 추진

• 작년 5월: 공급망 보안 가이드라인 발표, SW 공급망 보안관리의 기본 원칙과 기준 제시
• 작년 10월: '범부처 정보보호 종합대책'에서 SW 공급망 보안 강화를 세부 과제로 포함

• KISA(한국인터넷진흥원)가 기업 자체 점검용 체크리스트를 배포함
  • 국가·산업 등 항목별 규제를 분석해 총 8단계로 분류
  • 총 118개 상세 점검 항목을 제시, 상세 해설서는 올해 발간 예정
• SW 공급망 보안 강화 로드맵은 이달 말~내달 초 공개 예정
  • 공개 이후 국가 공공기관 도입을 위한 KS 기반 표준도 제시될 계획임

글로벌 규제 흐름과 국내 영향

• 해외에서는 EU CRA, 미국 EO 14028 등 여러 법령을 통해 공급망 보안 규제를 강화하는 추세임
• 유지연 상명대 교수 의견
  • EU·미국 규제는 글로벌 공급망 전체에 적용됨 — 무역 교류에 직접 영향
  • 국내에서 검증·조치를 취하지 않으면 유럽·미국과의 무역 교류가 제한될 수 있음
  • 정부는 규제 대응과 산업 육성을 병행하는 투트랙 전략을 추진할 필요가 있음

---

기술 맥락

SBOM(Software Bill of Materials)은 소프트웨어에 포함된 모든 구성 요소를 나열한 목록이에요. 식품 성분표처럼, 어떤 오픈소스 라이브러리가 들어갔는지 추적할 수 있게 해주는 거든요. Log4Shell 같은 취약점이 터졌을 때 "우리 시스템에 해당 라이브러리가 있나?"를 즉시 확인하려면 SBOM이 필수예요.

공급망 공격은 타깃을 직접 공격하지 않고, 타깃이 의존하는 라이브러리나 빌드 도구를 오염시키는 방식이에요. SolarWinds 사태처럼 한 곳만 뚫려도 그 SW를 쓰는 수천 개 조직이 동시에 피해를 입게 되거든요.

KISA의 118개 점검 항목은 개발부터 배포까지 공급망 전 단계를 8개 영역으로 나눠 점검하는 체크리스트예요. 공공 프로젝트에 참여하는 개발팀이라면 이 항목들을 기준으로 내부 보안 프로세스를 정비해두는 게 좋아요. 2027년 SBOM 제출 의무화가 시행되면 이 체크리스트가 사실상 컴플라이언스 기준선이 될 가능성이 높거든요