금융·증권
부동산
산업·IT
경제
정치
사회
국제
라이프
오피니언
기획·연재
fnEdition
IT 정보통신

KISA "SW 공급망 규제, 기업·국가별 맞춰 대응…내년 산업별 확산"

뉴시스

입력 2025.12.07 12:00

수정 2025.12.07 12:00
미국·EU 규제 대응차 실제 개발환경 기반 SBOM 공급망 모델 구축 수출 기업 대상 국가·산업별 요구사항 맞춘 대응 체계 실증 의료·금융·AI 등 산업군별 가이드 보급…규제 대응 체계화
[서울=뉴시스] 한국인터넷진흥원(KISA)은 지난 4일 소프트웨어 구성 명세서(SBOM) 기반 공급망 보안 모델 구축 사업 주요 성과와 내년도 계획을 발표했다. 사진은 공급망 보안 모델 사례 (사진=KISA 제공) *재판매 및 DB 금지
[서울=뉴시스] 한국인터넷진흥원(KISA)은 지난 4일 소프트웨어 구성 명세서(SBOM) 기반 공급망 보안 모델 구축 사업 주요 성과와 내년도 계획을 발표했다. 사진은 공급망 보안 모델 사례 (사진=KISA 제공) *재판매 및 DB 금지

[서울=뉴시스]윤정민 기자 = 미국, 유럽연합(EU) 등 주요국 소프트웨어(SW) 공급망 보안 규제가 무역 장벽으로 떠오른 가운데 정부가 이를 돌파할 수 있는 실질적인 가이드라인을 마련했다. 정부는 올해 일부 민간 기업을 대상으로 실증 성과를 확인했으며 내년부터는 산업군별 확산과 가이드라인 보급에 본격화할 방침이다.

한국인터넷진흥원(KISA)은 지난 4일 소프트웨어 구성 명세서(SBOM) 기반 공급망 보안 모델 구축 사업 주요 성과와 내년도 계획을 발표했다.

KISA는 올해 60억원 규모의 신규 사업을 통해 국내 기업 환경을 분석하고 5가지 SBOM 기반 공급망 보안 모델을 도출했다. 단일 표준을 일방적으로 제시하는 대신 참여 기업의 실제 사례에서 공통 요소를 추출해 유형화한 것이 특징이다.



◆까다로운 美·EU 규제, 맞춤형 모델로 뚫었다
[서울=뉴시스] 한국인터넷진흥원(KISA)은 지난 4일 소프트웨어 구성 명세서(SBOM) 기반 공급망 보안 모델 구축 사업 주요 성과와 내년도 계획을 발표했다. 이동화 KISA 공급망안전정책팀장이 발표하는 모습 (사진=KISA 제공) *재판매 및 DB 금지
[서울=뉴시스] 한국인터넷진흥원(KISA)은 지난 4일 소프트웨어 구성 명세서(SBOM) 기반 공급망 보안 모델 구축 사업 주요 성과와 내년도 계획을 발표했다. 이동화 KISA 공급망안전정책팀장이 발표하는 모습 (사진=KISA 제공) *재판매 및 DB 금지

KISA는 이 중 글로벌 규제 대응 모델형을 강조했다. 미국 행정명령(EO 14028), 미 식품의약국(FDA) 의료기기 SBOM 의무 제출, EU 사이버복원력법(CRA) 등 해외 조달·수출 과정에서 요구되는 국가·산업별 규제에 맞춤 대응할 수 있는 체계다.

교통 인프라 시스템을 수출하는 에스트래픽은 미국 워싱턴 교통국(WMATA)의 철도 인프라 사업 수주 과정에서 요구된 보안 규격(RFI/RFP)을 충족하는 체계를 구축했다.

의료 소프트웨어를 수출하는 에이아이트릭스는 FDA 의료기기 인허가 과정에서 요구하는 SBOM 제출·취약점 관리 요건을 충족하는 성과를 거뒀다. 네트워크 장비 펌웨어를 수출하는 한드림넷은 일본 파트너사, 고객사와 펌웨어 SBOM을 공유하고 취약점을 개선하는 체계를 마련했다.

이동화 KISA 공급망안전정책팀장은 이날 발표에서 "단순히 SBOM을 생성하는 것을 넘어 해외 발주처가 요구하는 보안 리스크 관리 절차를 실제 수출 프로세스에 녹여낸 것이 핵심"이라고 설명했다.

◆SBOM 공유·내재화 모델도 첫 실증…'이메일 전달' 관행 탈피

공급망의 투명성을 높이기 위한 SBOM 공유·내재화 모델도 구축했다. 그동안 기업들은 보안상 민감할 수 있는 SBOM 데이터를 이메일로 주고받아 유출 우려가 있었다.

KISA는 소만사(제조사)와 휴네시온(납품사) 간 SBOM 공유 전용 플랫폼 기반 체계를 구축해 이를 실증했다. 제조사가 암호화된 SBOM 파일을 전달하고 납품사가 이를 통합 보안 관제 시스템과 연동해 관리하는 방식이다. 미 사이버보안·인프라 보안국(CISA)이 권고하는 공유 모델 중 '플랫폼 기반 공유'를 국내 환경에 맞게 적용한 첫 사례다.

또 '공통 구축 모델'을 통해 오픈소스 도입부터 지속적 통합·배포(CI/CD), SBOM 생성, 취약점 모니터링까지 전 과정을 체계화한 한국형 기본 공급망 보안 모델도 제시했다.

인젠트, 알체라 등은 외부 솔루션 의존도를 낮추고 사내 개발 절차·규정·인프라에 공급망 보안을 통합한 내재화 모델을 구축했다. 오픈소스 기반의 소프트웨어 구성 분석(SCA) 도구를 개발 환경에 맞게 커스터마이징하거나 사내 이슈 관리 시스템과 보안 취약점 관리를 자동 연동하는 식의 최적화를 수행했다.

◆내년 초 118개 항목의 '자가진단 체크리스트' 배포…산업별 확산 착수
[서울=뉴시스] 한국인터넷진흥원(KISA)은 지난 4일 소프트웨어 구성 명세서(SBOM) 기반 공급망 보안 모델 구축 사업 주요 성과와 내년도 계획을 발표했다. 사진은 공급망 보안 자가진단 체크리스트 (사진=KISA 제공) *재판매 및 DB 금지
[서울=뉴시스] 한국인터넷진흥원(KISA)은 지난 4일 소프트웨어 구성 명세서(SBOM) 기반 공급망 보안 모델 구축 사업 주요 성과와 내년도 계획을 발표했다. 사진은 공급망 보안 자가진단 체크리스트 (사진=KISA 제공) *재판매 및 DB 금지

한편 KISA는 이날 발표에서 국내 SW 공급망의 취약점 현황도 공개했다. KISA가 올해 지원 사업을 통해 약 23만1000개의 오픈소스 컴포넌트를 분석한 결과 약 3.5%에서 보안 취약점(CVE)이 발견됐다.

특히 약 0.49%는 실제 해킹 공격에 악용된 '고위험 취약점(KEV)'인 것으로 확인됐다. KISA는 해당 기업에 패치·버전 업그레이드·대체 모듈 적용 등 조치 방안을 제공했고 DevOps 개발환경 보안 개선도 52개 항목에 걸쳐 제공했다.


KISA는 이번 성과를 바탕으로 내년 초 '공급망 보안 자가진단 체크리스트'를 담은 안내서를 배포할 예정이다. EU의 CRA, 미국의 안전한 소프트웨어 개발 프레임워크(SSDF) 등 주요 글로벌 규제를 분석해 우리 기업이 점검해야 할 118개 필수 항목을 정리한 것이다.


이 팀장은 "올해 확보한 모델을 바탕으로 의료, 금융, AI 등 산업별 특성에 특화된 공급망 보안 프레임워크를 내년에 확산할 계획"이라며 "설계부터 납품까지 발생할 수 있는 위협으로부터 안전하게 개발할 수 있도록 전반에 걸친 보안 점검과 컨설팅을 지원하겠다"고 밝혔다.

☞공감언론 뉴시스 alpaca@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>


저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지