정부, SW 공급망 보안 가이드라인 1.0 발표

240513-(요약본)_SW_공급망_보안_가이드라인.pdf

3.14MB

240513-(전체본)_SW_공급망_보안_가이드라인.pdf

13.60MB

과학기술정보통신부, 국정원, 디지털플랫폼정부위원회의 협력을 통해 SW 공급망 보안 가이드라인 1.0이 마련됐다. 해당 가이드라인은 확산되고 있는 SW 공급망 사이버보안 위협과 미국, 유럽 등 해외 주요국의 SW 구성요소 명세서 제출 의무화 등에 대응하여 정부, 공공기관, 기업들이 자체적인 SW 공급망 보안 관리역량을 갖출 수 있도록 지원하기 위해 마련됐다.

 

본 가이드라인은 국산 SW에 대한 SBOM 실증 및 SW 공급망 보안 테스트베드(판교) 시범 운영 결과 등을 반영한 것으로, 100여 페이지의 전체본과 16 페이지의 요약본으로 제공되며, 정부 및 공공기관의 정책결정자 및 기업의 경영진 등은 요약본을 통해 쉽게 SW 공급망 보안에 관한 주요 내용을 이해할 수 있을 것으로 기대된다.

 

국내 중소기업들에게 SW 공급망 보안은 전문인력과 SBOM 생성 도구 등 전용 시설을 갖춰야 하는 현실적인 어려움으로 인해, 초기 투자에 상당한 부담이 될 수는 있으나, 이를 피할 수는 없는 노릇이다.

 

그래서 이번 가이드라인을 통해 SBOM 기반 SW 공급망 보안 관리체계를 도입하는 과정에서 시행착오를 줄일 수 있도록 SBOM 유효성 검증, SW 구성요소 관리 요령 및 SBOM 기반 SW 공급망 보안 관리 방안 등을 확인할 수 있다.

 

SW 개발 시에 공개 SW 등 외부 SW를 포함하여 개발하고 있어서 이에 따라 SW 공급망이 복잡해지고, 악성코드 및 보안취약점 관리에 대한 필요성이 대두되었으며, SW 개발-공급(유통)-운영 등 공급망 각 단계에서 SBOM을 활용함으로써 SW 구성요소를 안전하게 관리할 수 있으며, SBOM을 활용하여 SW 자산관리, 공개 SW 라이선스 및 보안취약점 관리가 가능하다.

 

외부 SW 또는 자체 개발 SW는 다양한 공개 SW를 포함할 수 있으며, SW 개발 생명주기 단계마다 SBOM 생성 및 배포 체계를 구축하고, 보안 위험이 해소된 SW를 공급(유통)함으로써 SW 공급망의 투명성과 신뢰성을 확보할 수 있다.

 

SW 개발 생명주기 전반에 걸친 SW 위험관리를 위해 기초 데이터가 되는 SBOM 생성을 위한 필수설비 구축이 필요하며, SBOM 도구(공개 SW 및 상용 도구 활용), SW 구성요소 저장소, SBOM 데이터베이스(DB), SW 위험 평가 및 관리를 위한 자체 보안취약점 DB 등 SBOM 기반의 SW 공급망 보안 기초 설비 확보가 필요하다.

국산 SW의 SBOM 생성･활용을 통한 SBOM 기반 SW 공급망 보안 관리 실증을 위해 실증계획을 수립하였으며, 이에 따라 SW 개발기업의 환경분석을 실시한 후, 담당자 인터뷰를 통해 세부적인 SW 개발환경, 공급망 보안 관리 체계, 대상 SW의 특성 등을 파악하였다.

 

SBOM을 생성하고 유효성을 검증한 후 검증된 SBOM에서 보안취약점 분석 및 대상 기업의 공급망 보안 관리체계를 점검하였고, 이를 기반으로 SW 개발자 인식 및 개발 프로세스 개선 등은 물론 향후 공급망 보안 관리체계 향상을 위해 보안 컨설팅도 제공하였다.

 

신뢰성이 높은 SBOM을 SW 공급망 내에서 원활하게 유통하고 관리하기 위한 것이며, 자동화된 SBOM 도구로 SBOM 생성 시, SBOM 항목 일부가 누락 되거나 중복되는 현상 등을 제거하는 절차로 SW 개발자 참여는 반드시 필요하다.

 

SW의 보안취약점 탐지 및 조치를 위해서는 SBOM 생성을 통한 SW 구성요소 관리가 필요하다. 또한 대상 SW의 유형(소스코드 또는 바이너리)에 따라 생성된 SBOM의 구성요소 명세가 다를 수 있고, 그에 따라 보안취약점 탐지 결과도 상이할 수 있으므로 SBOM 유효성 검증을 통해 SBOM의 신뢰성을 높이는 것이 효과적인 보안취약점 관리를 필수요건이 될 수 있다.

 

실증 기업 A의 SW 소스코드와 바이너리를 대상으로 SBOM을 생성하고, 이를 취약점 DB와 비교하여 보안취약점을 검출하였다. 그림과 같이 CycloneDX 표준을 이용하는 SBOM에서는 ‘Vulnerabilities’항목에서 취약점 정보 확인이 가능하다.

 

발견된 보안취약점에 대한 더 자세한 정보 및 조치 수단은 미국 NIST의 보안취약점 데이터베이스(NVD, https://nvd.nist.gov/vuln/detail/(CVE 코드명))에서 확인할 수 있다. SBOM 도구에 따라 CVE-ID, 취약점 출처(취약점 소스명, URL), 조치방안 등 보안취약점의 상세 항목이 다르게 표현될 수 있으므로 지속적인 활용을 통해 경험을 축적할 필요가 있다.