개발·공급 단계부터 보안 내재화... 조달에 반영 등
우수기업 확인서 발급 시범 운영 등 인센티브 시도

[보안뉴스 강현주 기자] 침해 사고를 당하거나 취약점이 발견된 제품의 보안 조치가 미흡하면 공공 조달 시장 진출이 제한된다. 공급망 보안 관리 우수기업 확인서 발급 및 인센티브 제공 등 동기부여 강화를 위한 제도가 시도된다.

과학기술정보통신부와 국가정보원을 축으로 산업 분야별 SW 공급망 보안 범정부 협의체가 마련되고, 민간 자율 협의체도 정부가 지원한다.

24일 과기정통부와 국정원은 한국정보보호학회(회장 김호원)와 공급망보안연구회(위원장 이만희) 주관으로 서울 양재aT센터에서 열린 ‘2026년도 공급망보안 워크숍’에서 이같은 내용의 공급망 보안 로드맵을 발표했다.


고성능 AI 기반 공격의 속도와 규모가 급증하고 있어 기존 SW 공급망 보안 체계로는 방어에 한계가 있다. 이에 과기정통부와 국정원은 로드맵을 수립하고, 기업·기관 보안 역량 강화부터 공급망 공격 대응체계 마련과 정책 기반 조성을 아우르는 SW 공급망 보안 강화를 추진한다.

과기정통부는 민간 부문을, 국정원은 공공 부문을 주도하지만 민관을 아우르는 범정부 차원 피해 확산 체계를 마련에 양측이 긴밀하게 협력한다.

이번 로드맵은 특히 ‘개발·공급 단계부터 보안 내재화’를 강조하고 있다. 그 일환으로 보안이 미흡한 제품은 공공 조달 진입에 제한을 둔다는 방침이다.

이 날 로드맵을 발표한 국정원 관계자는 “침해 사고를 당한 기업이 후속 조치가 미흡하거나, 취약점이 발견된 제품이 패치가 돼 있지 않으면 패치가 완료될 때까지 공공 조달 진입을 일시 중단하는 등의 조치를 정책에 연결할 것”이라며 “가이드라인을 만들고 단계적으로 제도화 할 것”이라고 말했다.

이와 함께 과기정통부는 공급망 보안 우수기업을 인증해주는 제도를 내년부터 시범 운영한다. 공급망 보안관리 검증을 거친 기업에게 ‘우수기업 확인서’를 발급해준다는 계획이다.

과기정통부 관계자는 이와 관련 “시범운영 결과를 바탕으로 기존 제도에 공급망 보안 요소 반영을 추진할 것”이라며 “사후관리를 유도하는 인센티브도 검토하는 등 지속적 보안 지원 제도를 마련할 방침”이라고 밝혔다.

과기정통부와 국정원은 SW 공급망 보안 범정부 협의체도 올해 마련할 방침이다. 의료기기·자동차·공공정보시스템·금융·보안 등 산업별 정책과 기준을 수립하고 보안 대책을 마련하며 사고 대응을 지원하기 위해서다.

과기정통부 관계자는 “협의체를 통해 전문인력 양성과 기업 역량 확보를 지원할 것”이라며 “한번 뚫리면 각 산업의 여러 고객사까지 연쇄적으로 피해가 확산되는 것을 방지하는 동시에 글로벌 규제에 대응함으로써 해외 수출 시 걸림돌도 해결할 수 있다”고 말했다.

정부는 이와 함께 SW 공급망 보안 관련 민·관 합동 포럼을 지원하고, 중요 산업 분야 등을 중심으로 민간 자율 협의체 구성을 지원한다는 방침이다.

과기정통부와 국정원이 발표한 로드맵은 △개발·공급 단계부터 보안을 내재화하고 SW 투명성 제고로 사고 예방 역량을 강화 △공급망 위협의 빠른 탐지·대응을 위한 관리체계 마련 △개발·공급 단계부터 사후관리까지 SW 공급망 위협 관리를 위한 정책 추진체계 구축 및 제도 정비 등이 골자다.

이 날 워크숍에선 신용석 토스페이먼츠 정보보호최고책임자(CISO)가 기조연설을 통해 자사 공급망 보안 사례를 공유했다. 박영수 한국인터넷진흥원(KISAI) 책임은 소프트웨어 개발 보안 제도를 소개했다. 25일까지 국내외 공급망 보안 관련 정부부처, 학계, 업계의 전문가들의 강연이 이어진다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>