과학기술정보통신부와 국가정보원, 디지털플랫폼정부위원회는 ‘소프트웨어 공급망 보안 가이드라인 1.0’을 마련했다고 12일 밝혔다.

이날 과기정통부에 따르면 가이드라인은 최근 확산하는 소프트웨어 공급망 사이버보안 위험과 미국·유럽 등 해외 주요국의 ‘소프트웨어 구성요소 명세서(SBOM)’ 제출 의무화 등에 대응해 정부·공공기관·기업들이 자체적인 보안 관리역량을 갖출 수 있도록 하기 위해 마련됐다.

최근 주요국들은 공개 소프트웨어인 ‘Log4j’ 등의 보안 취약점이 드러난 이후 보안을 강화하기 위한 조치로 ‘SBOM’을 요구하고 있다. 특히 최근엔 ‘Log4j’ 기반의 게임 마인크래프트와 게임 플랫폼 스팀 등이 보안에 취약한 것으로 드러나기도 했다.

정부는 △기업지원 허브를 통한 사이버보안 위협 시연 및 보안 취약점 점검 △디지털 헬스케어 보안 리빙랩을 통해 관련 제품 및 서비스에 대한 보안 취약점 점검 △국가 사이버안보협력센터 기술공유실과 소프트웨어 공급망 보안 강화를 위한 SBOM 자동화에 나서겠다는 방침이다.

정부는 이번 가이드라인이 다양한 산업 분야에서 활용될 수 있게 홍보하고, 디지털플랫폼정부 주요 시스템 구축 시 SBOM을 시범적으로 적용할 예정이다. 또 기업들에 대한 SBOM 적용 지원을 강화하면서 소프트웨어 공급망 보안 저변을 확대한다. 향후 주요국의 제도화 동향과 국내 산업 성숙도를 고려하며 점진적으로 제도화를 준비해나갈 방침이다.