과학기술정보통신부와 국가정보원이 ‘소프트웨어 공급망 보안 전담반(TF)’을 발족하고, 소프트웨어 개발·공급·운영 등 공급망 전체 단계에 걸친 사이버보안체계를 마련해 나가기로 했다. 

소프트웨어 공급망 보안TF는 사이버위협에 대응하기 위해 발족됐다. 최근의 사이버위협이 개별 개인용 컴퓨터에 대한 해킹에 머무르지 않고 소프트웨어 개발 업체를 공격해 해당 제품이 사용된 장비나 기기를 감염시키는 공급망 공격으로 변화하는데 따라 공급망 보안을 강화하기 위한 전담반을 구성한 것이다. 

전담반에는 국방부·행정안전부·디지털플랫폼정부위·방첩사 등 관계기관과 소프트웨어 산업계를 포함한 산학연 전문가들이 참여하고, 국정원 주관 ‘정책분과’와 과기정통부 주관 ‘산업분과’로 나눠 매월 분과별 회의와 전체회의를 가질 예정이다.

정책분과는 ▲법·제도 ▲보안지침 ▲안보위해 ▲위험관리 등 4개 실무반으로 구성되며, 산업분과는 ▲인프라 ▲핵심산업 ▲교육·훈련 ▲국제통상 등 4개 실무반으로 구성·운영된다. 

전담반은 내년 1월까지 공공분야 소프트웨어 공급망 보안기준 등 보안정책(안)과 함께, 보안성 강화가 업계의 부담이 아닌 보안기술 역량 제고로 이어지도록 산업 지원·육성 방안을 마련하고, 2027년 시행을 목표로 단계별 이행안도 공개할 계획이다.

특히 국정원은 현재 망분리 개선방안으로 추진중인 다층보안체계(MLS)와도 연계해 공공분야 공급망 보안정책을 적극 수립해 나갈 예정이다.

대통령실 신용석 사이버안보비서관은 “전세계적으로 사이버안보에서 공공-민간 협력의 중요성이 강조되고 있는데, 이번 민관 합동 전담반 발족은 소프트웨어 공급망 보안영역에서 공공·민간 협력의 모범사례가 될 것”이라고 말했다.

한편, 2020년 미국의 소프트웨어 공급사 솔라윈즈에 대한 공급망 공격으로 1만8000개 이상 기관이 피해를 입고, 2023년 악성코드 삽입 금융 소프트웨어 ‘3CX’가 감염돼 전세계 60만명이 사이버위협에 노출되는 등 공급망 공격이 진행되고 있다.

다수의 기업·기관에 사용되는 소프트웨어에 대한 공급망 공격은 대규모 피해와 사회적 혼란을 유발할 수 있어 전세계적 과제로 떠오른 상태로, 미국이 ‘국가 사이버보안의 개선에 관한 대통령 행정명령’을 발표하는 등 세계 각국 정부의 공급망 보안 강화 정책이 마련되고 있다.