--- title: "SW 공급망 보안 로드맵 임박 — 2027년 공공 SBOM 제출 의무화 추진" published: 2026-04-17T06:05:03.123Z canonical: https://jeff.news/article/1764 --- # SW 공급망 보안 로드맵 임박 — 2027년 공공 SBOM 제출 의무화 추진 정부가 SW 공급망 보안 강화 로드맵을 이달 말~내달 초 공개 예정. 개발 중 SW의 90%가 오픈소스를 사용하는 가운데, 매년 공급망 공격이 50%+ 증가하는 상황에서 2027년까지 공공 IT 시스템 SBOM 제출 제도화를 추진함. ## SW 공급망 보안, 왜 지금 문제인가 - 정부가 AI 리스크 대응 차원에서 SW 공급망 보안 강화에 속도를 내고 있음 - 'SW 공급망 보안 강화 로드맵'을 통해 단계별 보안 강화를 추진함 - 오픈소스 활용이 급격히 확대되면서 공급망 리스크가 업계 전반의 구조적 문제로 부상함 - 개발 중인 SW의 90%가 오픈소스를 사용 중임 - 오픈소스는 초기 비용 부담을 낮출 수 있어서 스타트업·중소기업에서 특히 많이 채택함 - 오픈소스의 근본적 문제점 - 개발 주체가 분산돼 있어 검증·관리 책임이 불명확함 - SW 공급망은 기획부터 폐기까지 전주기를 포괄하는데, 경제적 이유로 오픈소스 채택이 늘면서 구조적 복잡성이 계속 증가 중임 - 취약점 발생 시 신속 대응이 어렵고, 패치 적용·영향 분석에 시간이 많이 소요됨 ## 공급망 공격의 현주소 - 국가정보원에 따르면 매년 SW 공급망 공격이 50% 이상 증가하고 있음 - 공급망 공격의 핵심 위협 세 가지 - **동시다발적 피해** — 하나의 취약점으로 해당 SW를 쓰는 모든 조직이 동시에 영향 받음 - **사고 대응 어려움** — 패치나 앱 차단을 만들고 적용하는 데 오랜 시간이 필요함 - **모방 해킹** — 공격 방법 노출 시 모방 해킹으로 사고가 지속적으로 이어짐 - 과거에는 운영자가 보안을 도맡았지만, 현재는 공급망 보안관리 체계로 전환됨 - 안전한 SW 개발·제품 도입·보안 배치 등 대응 중심으로 변화함 ## 정부 대응 — 단계적 로드맵 추진 - 작년 5월: 공급망 보안 가이드라인 발표, SW 공급망 보안관리의 기본 원칙과 기준 제시 - 작년 10월: '범부처 정보보호 종합대책'에서 SW 공급망 보안 강화를 세부 과제로 포함 > [!WARNING] > 2027년까지 공공 IT 시스템 대상 SBOM 제출 제도화가 추진됨. 공공 SI 관련 개발팀이라면 데드라인을 의식하고 준비를 시작해야 할 시점임. - KISA(한국인터넷진흥원)가 기업 자체 점검용 체크리스트를 배포함 - 국가·산업 등 항목별 규제를 분석해 총 8단계로 분류 - 총 118개 상세 점검 항목을 제시, 상세 해설서는 올해 발간 예정 - SW 공급망 보안 강화 로드맵은 이달 말~내달 초 공개 예정 - 공개 이후 국가 공공기관 도입을 위한 KS 기반 표준도 제시될 계획임 ## 글로벌 규제 흐름과 국내 영향 - 해외에서는 EU CRA, 미국 EO 14028 등 여러 법령을 통해 공급망 보안 규제를 강화하는 추세임 - 유지연 상명대 교수 의견 - EU·미국 규제는 글로벌 공급망 전체에 적용됨 — 무역 교류에 직접 영향 - 국내에서 검증·조치를 취하지 않으면 유럽·미국과의 무역 교류가 제한될 수 있음 - 정부는 규제 대응과 산업 육성을 병행하는 투트랙 전략을 추진할 필요가 있음 --- ## 기술 맥락 SBOM(Software Bill of Materials)은 소프트웨어에 포함된 모든 구성 요소를 나열한 목록이에요. 식품 성분표처럼, 어떤 오픈소스 라이브러리가 들어갔는지 추적할 수 있게 해주는 거든요. Log4Shell 같은 취약점이 터졌을 때 "우리 시스템에 해당 라이브러리가 있나?"를 즉시 확인하려면 SBOM이 필수예요. 공급망 공격은 타깃을 직접 공격하지 않고, 타깃이 의존하는 라이브러리나 빌드 도구를 오염시키는 방식이에요. SolarWinds 사태처럼 한 곳만 뚫려도 그 SW를 쓰는 수천 개 조직이 동시에 피해를 입게 되거든요. KISA의 118개 점검 항목은 개발부터 배포까지 공급망 전 단계를 8개 영역으로 나눠 점검하는 체크리스트예요. 공공 프로젝트에 참여하는 개발팀이라면 이 항목들을 기준으로 내부 보안 프로세스를 정비해두는 게 좋아요. 2027년 SBOM 제출 의무화가 시행되면 이 체크리스트가 사실상 컴플라이언스 기준선이 될 가능성이 높거든요 ## 핵심 포인트 - 개발 중 SW의 90%가 오픈소스 사용 — 공급망 보안 관리 책임이 모호한 구조적 문제 - 매년 SW 공급망 공격 50% 이상 증가, 동시다발 피해·모방 해킹이 핵심 위협 - 2027년까지 공공 IT 시스템 SBOM 제출 제도화 추진, KISA 118개 점검 항목 체크리스트 배포 ## 인사이트 EU CRA, 미국 EO 14028 등 글로벌 규제가 강화되는 상황에서 한국도 SBOM 의무화에 나서는 건 불가피한 흐름. 공공 SI를 하는 개발팀이라면 2027년 데드라인을 의식해야 할 시점.