[이데일리 안유리 기자] 인공지능(AI) 기반 사이버 위협이 빠르게 고도화되면서 소프트웨어(SW) 공급망 보안이 새로운 사이버 방어의 중심축으로 떠오르고 있다. 개별 취약점을 막는 기존 방식이 한계를 드러내면서, 개발부터 운영·폐기까지 이어지는 전체 생태계 단위의 보안 관리 필요성이 커지고 있다.

이 같은 변화는 공격 속도의 급격한 단축이 단적으로 보여준다. 지난주 클라우드 시큐리티 얼라이언스(CSA), 샌즈 인스티튜트, 오왑이 공동 발간한 ‘미토스 레디 보고서’에 따르면, 보안 취약점이 발견된 뒤 실제 공격에 활용되는 ‘무기화’까지 걸리는 시간은 2018년 평균 2.3년에서 2026년 약 20시간으로 급격히 줄어든 것으로 나타났다.

AI가 취약점 분석과 공격 코드 생성을 자동화하면서, 보안 패치가 적용되기 전에 공격이 먼저 이뤄지는 구조가 현실화된 것이다. 이에 따라 기존처럼 취약점 공개 이후 대응하는 방식만으로는 방어가 어려운 환경이 됐다는 분석이 나온다.

◇“누가 침투하는가”…보안 패러다임이 바뀐다

16일 서울 강남구 코엑스에서 한국정보보호학회가 주최한 ‘NetSec-KR 2026’에서는 공급망 보안을 둘러싼 구조적 전환이 강조됐다.

이날 ‘글로벌 공급망 보안 신전략’을 발표한 유지연 상명대 교수는 “과거 ‘어떻게 막을 것인가’에서 이제는 ‘누가 침투하는가’를 함께 봐야 한다”며 보안 관점의 근본적인 전환을 주문했다. 그는 “투명성 확보를 넘어 소프트웨어의 출처까지 고려해야 하며, AI 환경에서는 공급망 자체가 새로운 공격 경로가 된다”고 강조했다.

SW 공급망은 개발·운영·폐기 전 과정에 참여하는 인력, 자원, 계약과 같은 모든 요소를 포함한다. 오픈소스 확산과 개발 분업화로 인해 해커들은 개별 시스템보다 공급망 전체를 노리는 방식으로 전략을 바꾸고 있다. 국가정보원에 따르면 글로벌 SW 공급망 공격은 최근 3년간 연평균 50% 이상 증가했다.

◇“목록만으로는 부족”…검증 단계까지 가야 한다

공급망 보안 대응의 핵심으로는 SBOM(소프트웨어 자재명세서)이 꼽힌다. 이는 소프트웨어를 구성하는 모든 코드와 오픈소스를 목록화해 추적하는 체계로, 일종의 ‘소프트웨어 원재료 표기’에 해당한다.

하지만 전문가들은 여기에 그치면 부족하다고 지적한다. 실제 공격 가능성을 판단하는 추가 검증 체계가 필요하다는 것이다.

이때 등장하는 개념이 VEX(취약점 악용 가능성 정보 교환 체계)다. VEX는 단순히 “어떤 취약점이 존재한다”를 나열하는 것이 아니라, 해당 취약점이 실제 시스템 환경에서 공격에 악용될 수 있는지, 혹은 영향이 없는지까지 판단해 알려주는 검증 정보 체계다.

국가정보원 관계자는 “SBOM이 재료 목록이라면 VEX는 그 재료가 실제로 위험한 상태인지까지 확인해주는 역할”이라며 “두 체계가 함께 작동해야 실질적인 보안이 완성된다”고 설명했다.

정부도 관련 제도화를 추진 중이다. 2024년 공급망 보안 가이드라인을 마련한 데 이어, 올해 4월 말 혹은 5월 중 공급망 보안 로드맵을 발표할 예정이다. 2027년까지 주요 IT 시스템에 SBOM 제출을 의무화하는 방안을 검토하고 있다. 동시에 SBOM·VEX 표준화 및 인증 체계, 국가 차원의 취약점 공유 데이터베이스 구축도 추진된다.

◇“AI가 공격 주체가 되는 시대”…방어 체계 재설계 불가피

최근 미국 AI 기업 앤트로픽이 개발한 차세대 모델 ‘미토스’는 이러한 위협 환경 변화를 상징적으로 보여준다. AI가 스스로 취약점을 찾아내고 공격을 자동화할 수 있는 수준으로 발전하면서, 기존 방화벽·백신 중심의 방어 체계는 한계에 직면하고 있다는 분석이다.

정호원 한국정보보호학회장은 “AI가 자율적인 해킹 주체가 되는 시대에는 기존 보안 모델만으로는 대응이 어렵다”며 “지금은 보안의 기본 구조 자체를 다시 설계해야 하는 시점”이라고 말했다.