[세종=뉴스핌] 이경태 기자 = 정부가 소프트웨어(SW) 공급망 보안을 강화하기 위한 로드맵을 발표했다.

과학기술정보통신부는 'AI 일상화 시대를 준비하는 SW 공급망 보안 로드맵'을 마련했다고 24일 밝혔다. 이 로드맵은 24~25일 양재 aT센터에서 열리는 2026년도 공급망 보안 워크숍에서 공식 발표된다.

최근 SW는 제조, 교통, 의료 등 다양한 산업에 융합되면서 디지털 전환의 핵심 요소가 됐다. 이에 따라 공급망이 점차 확대되고 복잡해지면서 취약점을 노린 새로운 유형의 위협이 여러 기관에 연쇄적 피해를 주는 사례가 발생하고 있다. 고성능 AI 기반 공격은 광범위한 취약점 탐지와 자동화된 공격 수행을 통해 갈수록 빨라지고 규모도 커지고 있다.

로드맵은 세 가지 전략으로 구성됐다. 첫째, 개발·공급 단계부터 보안을 내재화하고 SW 투명성을 제고한다. 공급망 보안 기준과 가이드를 개발하고, 기업 보안 수준을 점검하며, SW 구성 요소와 의존관계를 기술한 자재명세서(SBOM)를 활용한 공급망 보안 관리 모델을 확산한다. 공급망 보안 인식 제고와 전문기업·인력 양성을 통해 보안 중심 개발 문화를 정착시킨다.

둘째, 공급망 위협의 빠른 탐지와 대응을 위한 관리체계를 마련한다. 버그바운티와 취약점 신고포상제 등을 활용해 취약점 발굴 채널을 확대하고, AI 기반 공급망 방어체계를 구축한다. 민간·공공 분야별 공급망 보안 위험관리 체계를 각각 구축한 후 상호 협력을 통해 위협 확산을 방지한다.

셋째, 개발·공급 단계부터 사후관리까지 SW 공급망 위협 관리를 위한 정책 추진체계를 구축하고 제도를 정비한다. 범정부 SW 공급망 보안협의체를 마련하고 공급망 보안 포럼을 운영해 민간 자율 활동을 지원한다. 민간·공공분야 보안 제도에 공급망 보안 요소를 포함하도록 정비하고, 사이버보안 선도국과의 협력체계를 강화한다.

임정규 과기부 정보보호네트워크정책관은 "복잡해지는 SW 공급망을 노린 사이버 위협이 증가하고 AI를 활용한 빠르고 광범위한 공격이 본격화되는 상황에서 공급망 보안이 어느 때보다 중요해졌다"고 말했다.

biggerthanseoul@newspim.com