미·유럽 SW공급망 보안 강화…韓 커넥티드카·의료기기 무역장벽 작성일 03-31 123 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">"SW 제품 구성 요소 기록한 명세 'SBOM'으로 제품 관리해야"<br>KISA, 공급망 보안모델 구축 지원·무료 진단 서비스 사업 추진</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="bgpHn2MUHx"> <figure class="figure_frm origin_fig" contents-hash="275b3f46bed378c819c3af18843f9049d0e7dc7b71feabce16496c2eb27262cb" dmcf-pid="KaUXLVRu5Q" dmcf-ptype="figure"> <p class="link_figure"><img alt="ⓒ News1 DB" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202503/31/NEWS1/20250331120103139ultx.jpg" data-org-width="560" dmcf-mid="ByRVlNme1M" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202503/31/NEWS1/20250331120103139ultx.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> ⓒ News1 DB </figcaption> </figure> <p contents-hash="8cf1359306c27f13fa71b7c02d1b8f5c24335fc36b123294faab4675b4cd0ca7" dmcf-pid="9TRVlNmeGP" dmcf-ptype="general">(서울=뉴스1) 윤주영 기자 = 미국, 유럽연합(EU) 등이 디지털 제품의 소프트웨어(SW) 구성요소를 꼼꼼히 보겠다고 나서면서 국내 업체들에 무역 장벽이 생길 전망이다. 빠르게 적용될 분야로는 커넥티드카, 의료기기 등 SW 개발업체가 꼽힌다.</p> <p contents-hash="9096642cb8534e7e3ab663c2c58f199cc5a47700a2c35e0afa45c0c37c256eb7" dmcf-pid="2yefSjsd56" dmcf-ptype="general">소프트웨어 제품의 구성 요소와 의존성을 기록한 '소프트웨어 자원 명세'(SBOM) 기반의 관리가 대비책으로 제시된다.</p> <p contents-hash="1bc6efda57f1a34aa53d557d0af9c1b1cec98f839ba2d7a4b738229fbee428e6" dmcf-pid="VWd4vAOJt8" dmcf-ptype="general">31일 이동화 한국인터넷진흥원(KISA) 공급망안전정책팀장은 인터뷰를 가지고 이같은 내용을 공유했다.</p> <p contents-hash="5e6b044e92f37f39401a8d8467db471feb30432ea0086337a83c4bed176d2e6a" dmcf-pid="fYJ8TcIi54" dmcf-ptype="general">이 팀장은 "과거 제조업에서나 쓰이던 '공급망' 개념이 현재 SW 개발에 쓰이고 있다"며 "디지털 전환(DX)으로 사회 전 영역서 SW가 많이 쓰이는 데다, 서비스를 구성하는 SW가 복잡해졌기 때문"이라고 설명했다.</p> <p contents-hash="f9c828a490a53ffe85244791aa777ab0b4818f55fcdaa40435dab21b02d5c36f" dmcf-pid="4Gi6ykCnXf" dmcf-ptype="general">문제는 SW 구성요소에 취약점이 있어도 바로 파악이 어려워졌다는 점이다. 최근 공격은 단말을 탈취하는 악성코드를 공급망 내 숨기는 등 이런 맹점을 파고든다.</p> <p contents-hash="e12da21182dfd47d3bdb70ea6f0506950a95d686cb2e2ba2ad17894843c89e4c" dmcf-pid="8HnPWEhLZV" dmcf-ptype="general">대표적 사례로 2021년 미국 보안업계에 큰 여파를 미친 'Log4j 취약점' 사태를 들 수 있다. 2022년 미국의 기업용 SW업체 솔라윈즈도 공급망 공격을 받아 고객사·미국 정부기관 등의 피해로 이어졌다.</p> <p contents-hash="aa08cd73d2a7b8d837caabc996f69e718bc0eced61c931a626b76dfea9a01010" dmcf-pid="6XLQYDloY2" dmcf-ptype="general">이 팀장은 "공급망 공격은 초기 탐지가 어렵고 여파도 크다"며 "솔라윈즈 사태 이후 미국은 강력한 공급망 정책을 행정명령으로 발표했다"고 설명했다.</p> <p contents-hash="5f72d688bca01c63eb7dbfa052f5591f597e979fbf21ebddce0afed5ea2c52e9" dmcf-pid="PZoxGwSgY9" dmcf-ptype="general">현재 미국 식품의약국(FDA)에선 의료기기 개발업체에 SBOM 제출을 의무화하는 것을 추진 중이다. 납품 기업은 시판 이후에도 최신 버전 패치 등 관리를 요구받게 된다.</p> <p contents-hash="ff7c078030d98dd1e2a4cb4fc4f7313e0a5a1d429f59d67288421ebf772e8551" dmcf-pid="Q5gMHrvaXK" dmcf-ptype="general">커텍티드카 SW 규제는 중국·러시아 등 미국 적대국 중심으로 적용이 논의되고 있다. 하지만 우리나라도 문제가 될 만한 부분이 없는지 살펴야 한다.</p> <p contents-hash="0f7c7d001aa9f4f78fbe9c06509724f5540f35da5471ace98a68f7aa38b39dbb" dmcf-pid="xUEL3lXDYb" dmcf-ptype="general">EU도 2027년부터 네트워크 연결이 가능한 디지털 제품 대상 SBOM 등 다양한 보안 요건을 적용할 예정이다. 지난해 12월 발효된 '사이버복원력법'(CRA)에 따른 것이다.</p> <p contents-hash="09c095a8bbf66ff711e65bda9b8e9db96e9a0b9d09679a7037cfc67cf8830616" dmcf-pid="yAz1a8JqZB" dmcf-ptype="general">KISA는 업계를 돕고자 지난해 5월 SBOM 기반 SW공급망 가이드라인 1.0을 발표했다. 또 8개 기업 제품에 SBOM을 적용해 보는 실증도 진행했다.</p> <p contents-hash="bace19c00edcdb8192477c28ce4f371e182accf2950603e4cf1e2cb43b319d5b" dmcf-pid="WcqtN6iB5q" dmcf-ptype="general">기관은 올해 'SBOM 기반 공급망 보안모델 구축지원 사업', 'SW 보안체계 진단 서비스' 2개 사업을 추진한다.</p> <p contents-hash="127e71584466e7beb57f9694c070e98b323e8c65241ad1622ddcd87f5d7214b9" dmcf-pid="YkBFjPnb1z" dmcf-ptype="general">보안모델 구축은 안전한 공급망 관리에 필요한 기술, 데이터베이스(DB), 장비 등을 지원해 주는 내용이다. 과제당 최대 3억 7500만 원 정부 예산이 투입되며, 참여 기업도 일정 부분을 자부담해야 한다. 올해 4월 21일까지 접수받는다.</p> <p contents-hash="6bd55163282dc4f0c41c210b311d2cb315ee80bc55e20bae91cc4ef4fca8c5ef" dmcf-pid="GEb3AQLKX7" dmcf-ptype="general">보안체계 진단 사업은 기업의 개발 환경상 취약점을 분석하고, SBOM을 생성해 주는 보안 컨설팅이다. 무료로 제공되며 11월 14일까지 KISA 보호나라 홈페이지에서 신청하면 된다.</p> <p contents-hash="f736ae91c705a0c925c03abf344978ca4644e9bf546a537f4e1b7680b283349a" dmcf-pid="HDK0cxo9tu" dmcf-ptype="general">이 팀장은 "개발환경 특성상 어쩔 수 없겠지만, 오픈소스를 많이 쓰는 점도 고민해야 한다"며 "취약점이 그대로 노출되기 때문에 개발진이 잘 파악해야 한다"고 강조했다.</p> <p contents-hash="5973a684372bb8daa8a3343e7d86ec20b86f73433c3fbf66d1e97066f2f7f574" dmcf-pid="Xw9pkMg2XU" dmcf-ptype="general">legomaster@news1.kr </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 생활 안전·미관 해치는 해지 케이블 철거 사업 확대 03-31 다음 "우리 국민 70%, AI 확산 따른 개인정보 침해 우려" 03-31 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.