한자로 한글한자자동변환기

“當하는 줄도 모르고 當한다”…SW 供給網 해킹 늘자 팔 걷은 政府

뉴시스

入力 2024-04-18 14:07 修正 2024-04-18 14:08

댓글보기

폰트

뉴스듣기

記事共有 |

科技情通部·國精院·디플정위 'SW 供給網保安 가이드라인1.0' 公開
"SW 供給網保安의 槪念을 쉽게 理解하고, 活用할 수 있도록 마련"

ⓒ뉴시스

소프트웨어(SW) 保安脆弱點과 업데이트 構造를 惡用해 시스템에 浸透하는 이른바 SW 供給網攻擊에 對한 憂慮가 高調되는 가운데, 政府가 民·官協力을 바탕으로 ‘SW 供給網保安 가이드라인’을 마련했다.

科學技術情報通信部, 國家情報院, 디지털플랫폼政府委員會는 韓國인터넷振興院(KISA)과 18日光化門隣近에서 ‘SW 供給網保安 가이드라인 懇談會’를 開催했다.

이날 懇談會에는 科技情通部 강도현 2次官, 國精院 윤오준 3次長, 디플정위 이용석 團長, 大統領室 신용석 사이버安保祕書官等關係部處 및 情報通信(ICT), 情報保護, 精油業, 防衛産業等 다양한 産業分野專門家들이 參席해 民官協力으로 마련한 ‘SW 供給網保安 가이드라인’의 主要內容을 共有하고, 向後國內擴散方案等을 論議했다.

첫 發表者로 나선 고려대 최윤성 敎授가 ‘供給網危機管理體系’ 等 SW 供給網保安 가이드라인 主要內容을 紹介했다.이어 한남대 李萬熙敎授는 SW 供給網保安 가이드라인을 基盤으로 하는 소프트웨어 資材明細書(SBOM) 生成과 保安脆弱點管理實證事例를, KAIST 강병훈 敎授는 SW 開發企業의 重要資産인 SBOM의 安全한 活用方案을 共有했으며, 參席者들 間論議가 이어졌다.

◆總 4章으로 構成…SW 供給網保安 위한 가장 效果的인 手段으로 SBOM 國際標準紹介

이날 公開된 가이드라인은 政府·公共機關, 民間企業의 意思決定者와 實務者들도 SW 供給網保安의 槪念을 쉽게 理解하고, 活用할 수 있도록 支援하기 위해 마련했다.

가이드라인은 總 4個章으로 構成돼있으며, ▲大統領直屬 디지털플랫폼政府委員會의 供給網保安政策方向 ▲國內專門家들의 硏究結果 ▲國産 SW에 對한 SBOM 實證 및 SW 供給網保安포럼 論議結果 ▲SW 供給網保安 테스트베드 示範運營 및 民官政策協議體論議結果를 담고 있다.

第1章에서는 디지털化에 따른 公開 SW 活用擴大等環境變化, 主要 SW 供給網保安事故事例·이에 對應하는 美國, 유럽, 日本等主要國의 SW 供給網保安制度化推進現況分析을 담았다. 이를 통해 우리나라도 SBOM을 원활하게 流通·共有할 수 있는 管理體系를 마련·擴散할 必要가 있다는 示唆點을 導出했다.

第2章은 國內 SW 供給網保安專門家들의 硏究結果를 反映한 것으로, 安全한 SW 開發·運營을 위해 지켜야 할 開發(供給)社 및 SW 顧客(運營)社의 役割을 規定했다. 아울러 ‘SW 供給網參與者들의 사이버保安 및 活動勸告’와 함께 安全한 SW 開發體系(SSDF) 活用方案을 提示했다.

또 SW 供給網保安을 위한 가장 效果的인 手段으로 活用되고 있는 SBOM 國際標準을 紹介했고, 政府·公共機關 및 民間企業들이 活用할 수 있는 ‘SW 開發生命週期에 따른 SBOM 管理方案’과 함께 國家的次元의 SW 供給網保安管理體系도 提示했다.

第3章은 國內政府·公共機關 및 民間企業들이 SW 供給網保安管理를 위한 施行錯誤를 줄일 수 있도록 支援하기 위해 마련했다. 이를 위해 科技情通部·KISA는 國內 사이버保安專門企業들과 함께 國産 SW를 對象으로 SBOM을 生成하고, 保安脆弱點을 探知·措置하는 一連의 過程을 提示했으며, 實務者들이 쉽게 活用할 수 있는 供給網各段階別利用者保安點檢項目 30個도 提示했다.

第4章은 國內政府·公共機關 및 民間企業等의 SBOM 基盤 SW 供給網保安導入支援을 위한 政府支援狀況을 紹介하고 있다.

◆“SBOM 示範的으로 活用해 模範事例 만들겠다”

政府는 SW 供給網保安 가이드라인을 KISA, NIPA 및 한국소프트웨어산업협회(KOSA), 韓國情報保護産業協會(KISIA) 等有關團體를 통해 政府·公共機關 및 民間企業들이 活用할 수 있도록 널리 擴散할 計劃이다.

강도현 科技情通部 2次官은 “SW 供給網保安 가이드라인이 企業活動을 沮害하는 規制가 아니라 企業自體的인 保安活動을 强化함으로써 國産 SW의 品質을 높이고, 國際的인 競爭力을 確保해나갈 수 있는 基盤이 될 수 있도록 中小企業支援에 努力을 아끼지 않겠다”고 말했다.

윤오준 國精院 3次長은 “이番 가이드라인 發表를 契機로 産業界와 積極疏通하고 海外國家와 協力을 强化해 國內産業界의 負擔을 줄이면서도 사이버安保를 强化할 수 있는 供給網保安對策을 마련하겠다”고 말했다.

이용석 디플정위 推進團長은 “安全하고 信賴할 수 있는 디지털플랫폼政府具現을 위해 시스템 構築時 SBOM을 示範的으로 活用해 模範事例를 만들고, 나아가 安全한 SW 生態系가 公共部門에 安着될 수 있도록 努力하겠다”고 말했다.

[서울=뉴시스]