(AI 생성 이미지)
과학기술정보통신부와 국가정보원은 24일 서울 양재 aT센터 그랜드홀에서 열린 ‘2026년도 공급망 보안 워크숍’에서 이 같은 내용의 ‘AI 일상화 시대를 준비하는 SW 공급망 보안 로드맵’을 발표했다. 이번 로드맵은 ‘안전하고 책임 있는 공급망 보안 체계의 전환을 통한 사이버 복원력 확보’를 목표로, 보안 역량 강화부터 기반 조성까지 SW 공급망 전반에 대한 보안을 강화하는 내용을 담고 있으며, 관련 국정과제인 ‘AI 시대를 지탱하는 견고한 디지털 보안안전 체계 구축’의 일환으로 추진된다.
최근 SW는 제조, 교통, 의료 등 다양한 산업에 융합되며 디지털 전환의 핵심 요소로 자리 잡고 있다. 이에 따라 SW 공급망이 점차 확대되고 복잡화되면서 복잡해진 공급망의 취약점을 노린 새로운 유형의 위협이 여러 기관의 연쇄적 피해로 이어지는 사례가 발생하고 있다. 특히 최근 대두되는 고성능 AI 기반의 공격은 광범위한 취약점 탐지와 자동화된 공격 수행을 통해 공격 속도와 규모를 크게 증대시키고 있어 기존 SW 공급망 보안 체계로는 방어에 한계가 있는 실정이다.
정부는 이러한 공급망 위협에 대응해 기업·기관 보안 역량 강화, 공급망 공격 대응체계 마련, 정책 기반 조성을 아우르는 SW 공급망 보안 강화를 추진한다. 우선 개발·공급 단계부터 보안을 내재화하고 SW 투명성을 제고해 나갈 방침이다. 공급망 보안 기준·가이드를 개발하고, 기업 보안 수준 점검과 개발 환경 전환 지원을 추진하며, SW를 구성하는 전체 컴포넌트들의 구성요소와 의존관계를 기술한 자재명세서인 ‘SBOM’을 활용한 공급망 보안 관리 모델을 확산한다. 또 공급망 보안체계에 AI를 적용하여 자동화하기 위한 연구도 수행하며, 기업 내 공급망 보안 인식 제고와 공급망 보안 전문기업·인력을 양성함으로써 보안 중심 개발 문화를 정착시킬 계획이다.
이와 함께 기업의 연쇄 피해로 이어지는 특징을 갖는 공급망위협의 빠른 탐지·대응을 위한 관리체계를 마련해 사고 발생 시 피해 확산을 최소화한다. 버그바운티, 취약점 신고포상제, 신고·조치·공개 제도(CVD/VDP) 등을 활용해 공급망 보안 취약점 발굴 채널을 확대하고, 신속한 공급망 위협 탐지와 조치를 위해 AI 기반 공급망 방어체계를 구축한다. 아울러 공공납품 정보통신 제품의 안보위해 여부에 대한 검증·대응 방안을 마련하고, 민간·공공 분야별 공급망 보안 위험관리 체계를 각각 구축한 후 상호 협력을 통해 공급망 위협 확산 방지를 수행한다.
나아가 개발·공급 단계부터 사후관리까지 SW 공급망 위협 관리를 위한 정책 추진체계를 구축하고 제도를 정비해 보안 강화 기반을 조성한다. 범정부 SW 공급망 보안협의체를 마련하고, 공급망 보안 포럼 운영을 통해 민간 자율 활동을 지원한다. 민간·공공분야 보안 제도에 공급망 보안 요소를 포함하도록 정비하고, 보안적합성 제도의 대상 제품 확대와 요구사항 세분화를 추진한다. 이외에도 사이버보안 선도국과의 협력체계를 강화하고 국내 인증제도와 상호인정을 확대하는 등 기업의 해외진출을 지원할 방침이다.
임정규 과기정통부 정보보호네트워크정책관은 “복잡해지는 SW 공급망을 노린 사이버 위협이 증가하고 AI를 활용한 빠르고 광범위한 사이버공격이 본격화되는 상황에서 공급망 보안이 어느 때보다 중요해졌다.”라며, “SW 공급망 보안 로드맵 발표를 기점으로 공급망 보안을 지속 강화해 나가겠다” 라고 밝혔다. 국정원은 “SW 공급망 보안 로드맵이 국가와 기업의 사이버안보 수준을 한단계 끌어올리는 중요한 이정표가 될 것으로 기대한다”며, “민·관 협력을 통해 글로벌 공급망 위협에 선제적으로 대응하겠다”고 강조했다.
