"한곳 터지면 줄줄이 해킹"…정부가 SW 공급망 보안 대책 확대한 이유
등록 2026.03.16 11:00:00수정 2026.03.16 11:38:25
KISA, 40억 규모 SBOM 기반 SW 공급망 보안 사업 공모
EU CRA 등 글로벌 규제 대응 위해 SBOM 확산
SW 구성요소 추적해 취약점 대응 시간 단축
![[뉴시스] 기사의 이해를 돕기 위한 이미지. (사진=유토이미지) *재판매 및 DB 금지](https://img1.newsis.com/2023/08/18/NISI20230818_0001343450_web.jpg?rnd=20230818105220)
[뉴시스] 기사의 이해를 돕기 위한 이미지. (사진=유토이미지) *재판매 및 DB 금지
[서울=뉴시스]윤정민 기자 = 정부가 공급망 전반에 보안 역량을 강화하기 위해 소프트웨어 자재명세서(SBOM, 소프트웨어에 포함된 오픈소스와 구성 요소 목록) 기반 보안 체계 구축 지원 사업을 확대한다. 고도화되는 공급망 해킹 위협에 대응하기 위해 개발 기업뿐만 아니라 소프트웨어를 도입·운영하는 기업까지 지원 범위를 넓혔다.
16일 한국인터넷진흥원(KISA)에 따르면 총 40억원 규모의 'SBOM 기반 SW 공급망 보안 모델 구축 지원' 사업 참가 기업을 다음 달 9일까지 모집한다.
올해 사업 특징은 지원 대상 확대다. 지난해까지는 SW 개발·공급 기업을 중심으로 사업을 진행했으나 올해는 소프트웨어를 도입해 운영하는 기업도 참여할 수 있도록 했다.
한 곳 뚫리면 협력사까지 위험…공급망 공격 확산
![[서울=뉴시스] 16일 한국인터넷진흥원(KISA)에 따르면 총 40억원 규모의 'SBOM 기반 SW 공급망 보안 모델 구축 지원' 사업 참가사를 다음 달 9일까지 모집한다. 2026.03.16. (사진=한국인터넷진흥원 제공) *재판매 및 DB 금지](https://img1.newsis.com/2026/03/16/NISI20260316_0002084324_web.jpg?rnd=20260316083229)
[서울=뉴시스] 16일 한국인터넷진흥원(KISA)에 따르면 총 40억원 규모의 'SBOM 기반 SW 공급망 보안 모델 구축 지원' 사업 참가사를 다음 달 9일까지 모집한다. 2026.03.16. (사진=한국인터넷진흥원 제공) *재판매 및 DB 금지
정부가 지원 범위 확대에 나선 이유는 공급망 공격이 빠르게 늘고 있다는 판단 때문이다. 소프트웨어는 협력사·외주 개발사·오픈소스 등 다양한 구성 요소로 만들어지는 만큼 한 기업만 해킹돼도 관련 기업 전체로 피해가 확산될 수 있다.
그룹아이비가 최근 발표한 한 보고서에 따르면 지난해 다크웹에서 발견된 기업 시스템 접근 권한(계정·서버 접속 권한 등)을 판매하는 게시글이 2227건에 달하며 상위 10개 랜섬웨어 그룹이 4283건의 공격을 실행한 것으로 나타났다.
그룹아이비는 초기 접근 브로커(IAB·기업 시스템 접근 권한을 해커 조직에 판매하는 중개자)가 기업 시스템 접근 권한을 탈취한 뒤 이를 랜섬웨어 조직에 판매하는 구조가 확산한 결과라고 설명했다.
이처럼 기업 내부 접근 권한이 범죄 조직 간 거래되면서 협력사와 고객사로 공격이 확산될 수 있는 공급망 침투 위험도 커지고 있다는 분석이다. 공급망 공격이 지난 10여년간 지속됐으나 지난해가 공급망 위협이 본격적으로 격화된 전환점이라는 게 회사 측 설명이다.
이동화 KISA AX공급망보안정책팀장도 지난 12일 서울 종로구에서 연 한 설명회에서 "이제는 개발 기업뿐 아니라 운영·판매 기업도 함께 참여해 개발부터 운영까지 전 과정에서 SBOM을 어떻게 활용할지 고민해야 할 시점"이라고 말했다.
"미·EU 규제 대응 위해 SBOM 확산 필요"…도입했더니 취약점 급감
이러한 위협에 대응해 미국과 유럽연합(EU) 등 주요국은 이미 공급망 보안을 제품 안전과 연관된 문제로 보고 규제를 강화하고 있다. 특히 EU의 사이버복원력법(CRA)은 제품 판매 이후에도 기업이 보안 책임을 지고 취약점에 대응할 것을 요구하고 있다.
이 팀장은 "글로벌 규제는 기업이 제품 안전성을 증명하고 취약점 발생 시 지속적으로 업데이트할 것을 요구한다"며 "복잡한 제품 내부에서 문제점을 빠르게 식별하기 위해서는 SBOM 활용이 필수 기술"이라고 설명했다.
실제로 SBOM 도입 효과는 KISA 실증 사업 결과로 입증됐다. 지난해 사업 참여 기업들을 분석한 결과 신규 취약점 발생 시 소프트웨어 구성 요소를 식별하고 대응하는 데 걸리는 평균 시간이 기존 약 7일에서 SBOM 체계 구축 이후 약 2일로 줄었다. SBOM을 통해 소프트웨어 내부 구성 요소를 즉시 확인할 수 있어 취약점 영향 범위를 빠르게 파악할 수 있기 때문이다.
올해 사업에서는 글로벌 규제 대응과 취약점 관리 고도화를 목표로 하는 개발·제조 기업 대상의 '공급망 보안 관리 체계 구축' 분야(6개 과제)에 과제당 최대 3억원을 지원한다. 소프트웨어 도입·운용 기업이 SBOM을 통해 신규 위협을 상시 모니터링하는 '공급망 위협 모니터링 및 대응 체계' 분야(2개 과제)에는 과제당 최대 5억원을 지원한다.
이번 사업 목적은 SBOM을 활용해 소프트웨어 내부에 포함된 오픈소스와 제3자 소프트웨어를 식별하고 취약점 발생 시 이를 신속히 찾아내 대응할 수 있는 체계를 기업 내부에 구축하는 것이다. KISA는 필요한 소프트웨어 구성분석(SCA) 도구와 서버 등 인프라 구축을 지원하고 운영 절차와 내부 매뉴얼 마련까지 기술 지원할 계획이다.
다만 기업들 사이에서는 어느 선까지 SBOM 정보를 공개해야 하는지에 대한 우려도 나온다. 이에 대해 KISA는 가이드라인 마련과 함께 SBOM 활용 생태계 확립에 주력할 방침이다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
