이만희 교수 "SW 공급망 보안, 단순 기술이 아닌 안보 문제" 작성일 07-07 15 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">'2025 공급망보안워크숍' 양재 aT센터서 개최<br>EU·미국, 공급망 보안 기준 의무화…국내도 SBOM·취약점 관리 강화<br>국방·경제·과학기술·보건·에너지…6대 안보 축 전반에 위협 확산</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="pxCQsxzTWy"> <figure class="figure_frm origin_fig" contents-hash="213b081803277d800c166c99e2ce99a1124057b7a5e3c14546432862e3b41209" dmcf-pid="UMhxOMqyTT" dmcf-ptype="figure"> <p class="link_figure"><img alt="이만희 한국정보보호학회 공급망보안연구회장(한남대 컴퓨터공학과 교수)이 7일 서울 양재 aT센터에서 열린 '2025년도 공급망보안워크숍' 개회사하고 있다.(사진=송혜리 기자) *재판매 및 DB 금지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/07/newsis/20250707160726746yrwa.jpg" data-org-width="720" dmcf-mid="04dtMFloSW" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/07/newsis/20250707160726746yrwa.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 이만희 한국정보보호학회 공급망보안연구회장(한남대 컴퓨터공학과 교수)이 7일 서울 양재 aT센터에서 열린 '2025년도 공급망보안워크숍' 개회사하고 있다.(사진=송혜리 기자) *재판매 및 DB 금지 </figcaption> </figure> <p contents-hash="133bd4fea6ef4c6d5d05dc2e3ff80ba0e4d46e86c7d35144bfb839f30681899a" dmcf-pid="uRlMIRBWyv" dmcf-ptype="general"><br> [서울=뉴시스]송혜리 기자 = <strong>#2020년 12월, 미국 정부 기관과 포춘 500대 기업 등이 대규모 사이버 공격을 당했다. 원인은 솔라윈즈의 네트워크 관리 소프트웨어에 삽입된 백도어였다. 해당 소프트웨어는 1만8000개 이상 기관·기업에 배포됐으며 이 사건은 미국 역사상 최악의 공급망 해킹으로 기록됐다.</strong></p> <p contents-hash="7ec47de47517dec47df654d63b53a59b6f9492fd454718078b3ca5663887544b" dmcf-pid="7uoUiuWAyS" dmcf-ptype="general">사이버 위협이 고도화되는 가운데 국방·의료·에너지·산업 인프라 전반에 걸쳐 소프트웨어(SW) 공급망 보안의 중요성이 강조되고 있다.</p> <p contents-hash="e66be2d87ebe3dd51d08383fc870f75eaee5885f448be9340b5beb521b3af60a" dmcf-pid="z7gun7Ycll" dmcf-ptype="general">이만희 한국정보보호학회 공급망보안연구회장(한남대 컴퓨터공학과 교수)은 7일 서울 양재 aT센터에서 열린 '2025년도 공급망보안워크숍' 개회사를 통해 "소프트웨어 공급망은 이제 단순 기술 문제가 아닌 국가 안보의 핵심 이슈가 됐다"며 "국가적 차원의 거시적 전략이 절실하다"고 강조했다.</p> <p contents-hash="15eb93484cfa94d76929efc630ca0694f3ef210385c4c835cbf6ae5bd2dcb0d3" dmcf-pid="qza7LzGkWh" dmcf-ptype="general">소프트웨어 공급망 보안은 소프트웨어의 개발, 배포, 설치, 업데이트 등 전 과정에서 발생할 수 있는 위협을 식별하고 방지하는 보안 활동을 말한다. </p> <p contents-hash="c800d380d51c0b9f0bd057a29ca85d05a9aba51d08b95c9e7e7994556d0d1c16" dmcf-pid="BqNzoqHECC" dmcf-ptype="general">과거 패키지 형태의 설치 방식과 달리, 현재는 대부분 온라인이나 클라우드 기반으로 소프트웨어가 배포되며 사용자는 자동 업데이트 기능을 통해 지속적으로 제품을 최신 상태로 유지한다. 그러나 이같은 구조는 업데이트 통로가 해킹당하거나 기술적 오류가 발생할 경우 수많은 고객사에 동시에 영향을 미치는 치명적 피해로 이어질 수 있다.</p> <p contents-hash="c07cfd5dfa3529d9dccd925d716e654d71ce9a80e7e8d6f4ec5f55849cafd8a1" dmcf-pid="bBjqgBXDhI" dmcf-ptype="general">이에 따라 유럽은 '사이버 복원력법(CRA)'을 발효하고 오는 2027년부터 유럽 내 판매되는 모든 디지털 제품에 공급망 보안 적용을 의무화할 예정이다. 미국은 이미 연방정부를 중심으로 소프트웨어 공급망 보안 체계를 강화하고 있다. 연방정부는 도입 소프트웨어에 안전한 소프트웨어 개발체계(SSDF)적용을 의무화하고 있으며 국방부(DoD)는 소프트웨어 자재 명세서(SBOM) 제출 및 SSDF 준수를 요구하고 있다.</p> <p contents-hash="a1da1c52b39ae5c3fc9603760179f3d355b7ef1352b1ba299537ad83123e36ec" dmcf-pid="KbABabZwSO" dmcf-ptype="general">국내에서도 소프트웨어 공급망 보안을 강화하기 위한 정책적 움직임이 본격화되고 있다. 지난해 5월 'SW 공급망보안 가이드라인 1.0'이 발표됐으며 2027년 제도화를 목표로 '소프트웨어 공급망보안 TF'가 로드맵을 작성 중이다. </p> <h3 contents-hash="f75902493fc7f1b2144fc587d21e98fac03a300de4648a0675919831e5b2f170" dmcf-pid="9KcbNK5rWs" dmcf-ptype="h3"><strong>국방에 소프트웨어는 핵심요소…공급망 사고는 국가 안보에 치명적</strong></h3> <div contents-hash="b420d09ec7004a10e834ed65aa279cf555d220609cb588bfc451a61ac2bb78b7" dmcf-pid="29kKj91mym" dmcf-ptype="general"> <strong> 이만희 교수는 소프트웨어 공급망 보안을 국방, 경제, 사이버, 과학기술, 보건, 에너지 등 여섯개 안보 축을 기준으로 다각도에서 분석했다.<br><br> 먼저 국방 안보와 관련해 이 교수는 "이제 국방력에서도 소프트웨어가 핵심 요소가 됐다"며 "소프트웨어가 외부 공격을 받을 경우, 단순한 기술 문제가 아니라 국가 안보 전반에 치명적인 위협이 될 수 있다"고 강조했다. 실제 북한을 비롯한 해외 해커들의 침투 시도가 지속되고 있으며 미국은 SSDF 등을 통해 국방 소프트웨어 보안을 고도화하고 있다.<br><br> 경제 안보 역시 디지털 제품 수출 비중이 높은 우리나라에 매우 민감한 사안이다. <br><br> 이 교수는 "유럽은 2027년부터 공급망 보안 요건을 충족하지 못하는 디지털 제품에 대해 시장 진입을 제한할 가능성이 크고, 미국도 연방정부는 물론 지방정부, 공공기관까지 보안 요건을 강화하고 있다"며 "제도적 대응을 소홀히 하면 수출 경쟁력 자체가 흔들릴 수 있다"고 경고했다.<br><br> 과학기술 안보와 관련해서는 인공지능(AI), 양자기술, 차세대 통신, 바이오 등 첨단기술이 국가 전략 자산으로 인식되는 가운데 기술자료 유출이나 조작은 치명적인 결과를 초래할 수 있다고 설명했다. 이 교수는 "미국은 이미 AI를 국가 안보 전략 기술로 규정하고 보호에 나섰으며 우리 역시 AI 공급망 보안을 최우선 과제로 삼아야 한다"고 강조했다.<br><br> 보건 안보는 공급망 보안 강화가 가장 먼저 진행될 분야로 꼽았다. 이 교수는 "미국 FDA는 의료 시스템 보안을 강화하고 있으며 우리나라도 식약처를 중심으로 디지털 의료기기법을 시행해 빠르게 대응하고 있다"고 설명했다.<br><br> 마지막으로 에너지 안보에 대해 이 교수는 "'스턱스넷' 사례나 최근 칠레 원전 사고 등에서 보듯 에너지 공급망 문제는 직접적인 국가 안보 위협으로 이어질 수 있다"며 "원자력 시설 등 주요 인프라에 대한 공급망 보안 강화가 시급하며 현재 관련 계획도 다각도로 추진되고 있다"고 말했다.<br><br><br><span>☞공감언론 뉴시스</span> chewoo@newsis.com </strong> </div> </section> </div> <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p> 관련자료 이전 ‘P의 거짓’·‘브더2’ 잘 나가네…작지만 강한 네오위즈 07-07 다음 신진서, 상반기 수입 5억6천만원…다승·승률·연승 ‘절대 1위’ 07-07 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.