과기정통부·국정원, 소프트웨어(SW) 공급망 보안 로드맵 발표

[사진=과학기술정보통신부]

정부가 소프트웨어(SW) 개발 단계부터 보안을 내재화하고 인공지능(AI) 기반 위협 탐지·대응 체계를 구축해 기업과 기관의 공급망 보안 역량 강화에 나선다. 

과학기술정보통신부(과기정통부)와 국가정보원(국정원)이 'AI 일상화 시대를 준비하는 소프트웨어 공급망 보안 로드맵(로드맵)'을 24일 발표했다. 

최근 SW 제조, 교통, 의료 등 다양한 산업에 융합하며 디지털 전환의 핵심 요소로 자리 잡고 있다. 이에 따라 SW 공급망이 점차 확대되고 있는 추세다. 특히 최근 대두되는 고성능 AI 기반 공격의 경우 기존 SW 공급망 보안 체계로 방어가 한계가 있는 상황이다. 과기정통부에 따르면 지난해 침해사고는 2383건으로 전년 대비 신고 건수가 26.3% 증가했다. 반기별로 살펴보면 2024년도 상반기 899건에서 2025년도 상반기 1034건으로 약 15% 증가, 2024년 하반기 988건에서 2025년 하반기 1349건으로 약 36.5% 늘어났다. 

이에 정부는 기업·기관 역량 강화를 위한 SW 공급망 보안 강화를 위한 로드맵을 수립한다. △개발·공급 단계 보안 내재화 △AI 기반 위협 탐지·대응 체계 구축 △SW 공급망 보안 제도 및 거버넌스 정비 등이 골자다.

우선 개발·공급 단계부터 보안을 내재화하고 SW 투명성을 높여 위협을 사전에 차단한다. 공급망 보안 기준과 가이드를 마련하고 기업의 보안 수준 점검 및 개발 환경 전환을 지원한다. 소프트웨어 자재명세서(SBOM)를 활용한 관리 모델을 확산하는 한편 AI를 적용한 보안 자동화 기술 개발도 추진한다.

하나의 침해 사고가 다수 기업과 기관으로 확산될 수 있는 공급망 공격의 특성을 고려해 위협 탐지·대응 역량도 강화한다. 버그바운티와 취약점 신고포상제, 취약점 신고·조치·공개 제도(CVD·VDP) 등을 활용해 취약점 발굴 채널을 확대하고 AI 기반 방어체계를 마련한다. 아울러 공공 납품 정보통신 제품의 안보 위해성을 검증하는 체계를 구축하고 민간·공공 분야별 위험관리 체계를 고도화해 피해 확산을 최소화할 방침이다.

SW 공급망 전 주기를 관리하기 위한 정책 기반도 정비한다. 범정부 SW 공급망 보안협의체를 구성하고 공급망 보안 포럼 운영을 통해 민간의 자율적인 보안 활동을 지원한다. 또 민간·공공 보안 제도에 관련 요소를 반영하고 보안적합성 제도 대상 제품과 요구사항을 확대한다. 사이버보안 선도국과의 협력을 강화하고 국내 인증제도의 상호인정을 확대해 기업의 해외 진출도 뒷받침할 계획이다.

임정규 과기정통부 정보보호네트워크정책관은 "AI를 활용한 빠르고 광범위한 사이버공격이 본격화하는 상황"이라며 "이번 발표로 공급망 보안을 지속 강화해 나갈 것"이라고 밝혔다.