“SBOM 공유, 선택 아닌 필수”…KISA, 공급망 보안 강화에 팔 걷었다 작성일 12-07 31 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="BY71JnMVEo"> <figure class="figure_frm origin_fig" contents-hash="4faa5a620c68ba1d96f62d00db2ade13e75cc9ed04552911da33ab53c2ec1f4b" dmcf-pid="bEyOb971OL" dmcf-ptype="figure"> <p class="link_figure"><img alt="ⓒ게티이미지뱅크" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/07/etimesi/20251207120312666bvaj.jpg" data-org-width="700" dmcf-mid="zYd8IhrNra" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/07/etimesi/20251207120312666bvaj.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> ⓒ게티이미지뱅크 </figcaption> </figure> <p contents-hash="656692cd2a9d385aa12841cceef4c79641f61f2fe2fcb4264421dfde542269ea" dmcf-pid="KDWIK2ztOn" dmcf-ptype="general">정부가 사이버 보안 이슈 중 하나로 떠오른 소프트웨어(SW) 공급망 강화에 팔을 걷어 부쳤다. 오픈소스 등 SW 공급망 생태계가 갈수록 복잡해지며 해커가 공격 가능한 지점(공격표면)이 늘어나는 등 사이버 위협이 점차 심각해진다는 판단에서다.</p> <p contents-hash="1b8e8059a631d50dfd49be599ffed9da7f04195efe3a9a15847640167ff44598" dmcf-pid="9wYC9VqFEi" dmcf-ptype="general">7일 정보보호산업계에 따르면, 한국인터넷진흥원(KISA)은 올해 공급망 보안 모델 구축사업과 점검 지원 사업을 벌였다.</p> <p contents-hash="5a2d9d215712ffac9deb50c4ac016b35fa35509382b5a0b411a5bd62db2c2c97" dmcf-pid="2rGh2fB3DJ" dmcf-ptype="general">공급망 보안은 SW 개발·설계·배포·업데이트 등 공급망 전 과정에 발생할 수 있는 보안 위협을 예방·대응하는 체계를 말한다. SW가 최종 사용자에게 전달되기 전까지 거치는 모든 과정에서 보안 취약점을 식별·보호하는 게 핵심이다.</p> <p contents-hash="fc1fa78bcbf90bda4256ebc39384834ee042d9fe8ee41d8ae852588ab1e0f5b4" dmcf-pid="VmHlV4b0Od" dmcf-ptype="general">미국·유럽연합(EU) 등 주요국은 SW 자재명세서(SBOM) 제출을 의무화하거나 안전한 개발 여부를 증명하기 위해 적합성 평가와 인증을 받도록 하는 등 법제화했다. SBOM은 SW 부품을 식별할 수 있도록 돕는 일종의 명세서로, 모든 단계에 걸쳐 취약점을 식별하고 보안을 강화하는 공급망 보안 도구를 말한다.</p> <p contents-hash="c89fc1d99b8f68e26387a0eaf2b9c9a769ab3cbc3e7fd2b7f362bb2f226cbcce" dmcf-pid="fsXSf8Kpre" dmcf-ptype="general">이동화 KISA 공급망안전정책팀장은 “공급망 보안 모델 구축 사업은 한 기업 안에서 처음부터 끝까지 SBOM을 활용한 공급망 보안 체계를 만드는 게 골자”라며 “체계가 필요 없는 기업엔 SBOM 기반으로 SW와 개발 프로세스의 안전성을 확보하는 가이드를 제공했다”고 말했다.</p> <p contents-hash="e5dba30a4c1029665e80299f2f2b920cdf43a46fe469a60697ffb31c568b8450" dmcf-pid="4OZv469UwR" dmcf-ptype="general">KISA는 올해 사업 성과로 공통 구축 모델, 글로벌 규제 대응, SBOM 제출·공유, 공급망 보안 내재화, 공급망 보안 자가 진단 체크리스트 개발 등을 꼽았다.</p> <p contents-hash="edbf4d7995dcb393909d4025b906b9d63785dacbe492767fb718df26241dc09c" dmcf-pid="8I5T8P2umM" dmcf-ptype="general">구체적으로 에스트래픽, 에이아이트릭스, 한드림넷은 공급망 보안 관련 글로벌 규제에 대응할 수 있도록 도왔다. 또 소만사와 휴네시온은 SBOM 제출·공유하는 보안 관리체계 모델을 만들었으며, AI스페라, 인젠트, 알체라는 기업 내부 제도·절차·체계에 협력사·고객사와 SBOM 공을 등을 내재화했다.</p> <p contents-hash="22978ffc1d18ac106a659ea6950071bfdb309de57a976841a8856c49afa0940a" dmcf-pid="6C1y6QV7Ox" dmcf-ptype="general">이 팀장은 “SW 공급망 투명성과 보안에 대한 관심이 커지면서 SW 공급망 개발-공급-수요 기업 간 SBOM 공유는 필수적인 요소로 자리 잡았다”며 “글로벌 규제에서 요구하는 공급망 위험관리와 보안성 강화에 중점을 맞춰 체크리스트를 개발했고, 이를 기반으로 기업이 규제 준수를 점검해 글로벌 경쟁력을 확보할 수 있도록 했다”고 말했다.</p> <p contents-hash="5ef6d163392b00455053fe1151d3a7f8cdebefe7f96d9fc8c7ddd4357ff4599f" dmcf-pid="PhtWPxfzsQ" dmcf-ptype="general">KISA는 내년에도 공급망 보안 강화 사업을 이어갈 방침이다.</p> <p contents-hash="abc77c7b32e737e39ccb4f820029bf826a39939d48a02d0c76913b651823b98d" dmcf-pid="QlFYQM4qwP" dmcf-ptype="general">이 팀장은 “공급망 보안 대상 산업군을 확대하고 산업별 특성을 고려한 공급망 보안 체계 강화 지원을 지속적으로 추진하겠다”며 “개발사가 설계부터 납품까지 발생할 수 있는 위협으로부터 안전하게 개발을 할 수 있도록 전반에 걸친 보안 점검과 컨설팅을 지원하겠다”고 말했다.<br></p> <figure class="figure_frm origin_fig" contents-hash="6d0d589822c4490a7333c13f23f6f27b619ef3d29803c953727f4de6ca8b59f9" dmcf-pid="xS3GxR8Bm6" dmcf-ptype="figure"> <p class="link_figure"><img alt="이동화 한국인터넷진흥원 공급망안전정책팀장.(한국인터넷진흥원 제공)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/07/etimesi/20251207120313956lmex.jpg" data-org-width="700" dmcf-mid="qwnQlvOcmg" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/07/etimesi/20251207120313956lmex.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 이동화 한국인터넷진흥원 공급망안전정책팀장.(한국인터넷진흥원 제공) </figcaption> </figure> <p contents-hash="668304c32a891e7a9ae95cc82ab093deb33569dde21c9bbde83ce939d594bfed" dmcf-pid="y6aeyYlwE8" dmcf-ptype="general">조재학 기자 2jh@etnews.com</p> </section> </div> <p class="" data-translation="true">Copyright © 전자신문. 무단전재 및 재배포 금지.</p> 관련자료 이전 [우리가 AX 주역]〈73〉아르투, AI 기반 아트테크 생태계 만든다 12-07 다음 '3:0→3:3→4:3' 7세트행운의 키스가 부른 우승...강지은, 4년만에 LPBA 정상 등극 '통산 3승' 12-07 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
