SW 안전성 - 공급망 보안 - SBOM - 소프트웨어(SW) 공급망 보안 가이드라인 1.0

12. 메일진 2024. 5. 16. 14:10
728x90
반응형

정부, 소프트웨어(SW) 공급망 보안 가이드라인 1.0 발표

(부제 : SW 공급망 보안 국제동향 및 SBOM 활용사례)

- 국산 SW에 SBOM 실증결과를 반영한 가이드라인 마련

- 디지털플랫폼정부 시스템 등에 SW 공급망 보안을 시범적용하고, 중소기업 SW 공급망 보안 역량 강화 지원 확대

- 해외동향과 국내 준비상황을 면밀히 살피면서 제도화 준비

 

디지털플랫폼정부위원회(위원장 고진, 이하 ‘디플정위’), 국가정보원(원장 조태용, 이하 ‘국정원’), 과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’)는 민관 협력을 통해 ‘SW 공급망 보안 가이드라인 1.0 (이하 ‘가이드라인’)’을 마련했다고 밝혔다.

 

가이드라인은 과기정통부, 국정원, 디플정위와 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호산업협회(KISIA) 등 정부·공공기관 홈페이지를 통해 2024년 5월 13일(월) 12:00부터 무료로 내려받아 사용할 수 있음

 

본 가이드라인은 확산되고 있는 SW 공급망 사이버보안 위험과 미국, 유럽 등 해외 주요국의 SW 구성요소 명세서(SW Bill of Materials, SBOM) 제출 의무화 등에 대응하여 정부·공공 기관 및 기업들이 자체적인 SW 공급망 보안 관리역량을 갖출 수 있도록 지원하기 위해 마련되었다.

 

또한 본 가이드라인은 국산 SW에 대한 SBOM 실증 및 SW 공급망 보안 테스트베드(판교) 시범 운영 결과 등을 반영한 것으로 세계적으로도 유례없는 실무 안내서이며, 향후 미국 등 주요 국가와 협력을 통해 해외에도 적극 소개할 계획이다.

 

가이드라인은 전체본(100여 페이지)과 요약본(16 페이지)으로 제공되며, 정부·공공기관의 정책결정자 및 기업의 경영진 등은 요약본을 통해서 쉽고 빠르게 SW 공급망 보안에 관한 주요 내용을 이해할 수 있을 것으로 기대된다.

 

국내 중소기업들에게 SW 공급망 보안은 전문인력과 SBOM 생성 도구 등 전용시설을 갖춰야 하는 현실적인 어려움으로 초기 투자에 상당한 부담이 될 수밖에 없으나 피할 수 없는 숙제와 같은 것이다.

 

이와 같은 기업들의 애로사항을 해결하기 위해 정부는 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW 공급망 보안 관리체계를 구축하고 기업 지원 서비스를 제공하고 있다.

 

특히, 가이드라인에는 정부·공공 기관 및 기업들이 SBOM 기반 SW 공급망 보안 관리체계를 도입하는 과정에서 시행착오를 줄일 수 있도록 SBOM 유효성 검증, SW 구성요소 관리 요령 및 SBOM 기반 SW 공급망 보안 관리 방안 등을 상세하게 수록하였다.

 

정부는 이 가이드라인이 다양한 산업분야에서 활용될 수 있도록 홍보하는 한편, 디지털플랫폼정부 주요시스템 구축 시 SBOM을 시범 적용하여 우수사례를 도출하여 발전시켜 나갈 계획이다.

 

SBOM 도입 등의 제도화는 필요하지만, 체계적인 준비 없이 제도를 성급하게 도입할 경우 SW 개발기간이 장기화되고, 원가 상승요인으로 작용하여 기업들의 부담 요인이 될 수 있다.

 

따라서 정부는 기업들에 대한 SBOM 적용 지원을 강화하면서 SW 공급망 보안 저변을 확대하고, 향후 주요국의 제도화 동향과 국내 산업 성숙도를 고려하며 점진적으로 제도화를 준비해나갈 방침이다.

 

또한, 올해 하반기에는 산·학·연 전문가들이 참여하는 범정부 합동TF를 구성하여 세부적인 정부지원 방안, 제도화 추진방향 등에 대한 심도 있는 논의를 진행한 후 ‘SW 공급망 보안 로드맵’을 마련할 계획이다.

 

SW 공급망보안 가이드라인은 과기정통부, 국정원, 디플정위와 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호산업협회(KISIA) 등 정부·공공기관 홈페이지를 통해 2024년 5월 13일 12시부터 무료로 내려받아 사용할 수 있다.

 

https://www.kisa.or.kr/2060204/form?postSeq=15&page=1

 

KISA 한국인터넷진흥원

안녕하세요. 과학기술정보통신부(한국인터넷진흥원), 국가정보원, 디지털플랫폼정부위원회가 합동으로 '소프트웨어(SW) 공급망 보안 가이드라인 1.0'을 마련하였으니 업무에 참고하시기 바랍니

www.kisa.or.kr

 

 

 

https://dpg.go.kr/DPG/contents/DPG02020000.do?schM=view&page=1&viewCount=9&id=&schBdcode=&schGroupCode=&id=20240513105420991857

 

디지털플랫폼정부위원회>새소식>보도자료 상세

디지털플랫폼정부위원회에 오신 것을 환영합니다

dpg.go.kr

240513_조간_보도_정부_SW_공급망_보안_가이드라인_발표.pdf
0.49MB
240513-(전체본)_SW_공급망_보안_가이드라인.pdf
13.60MB
240513-(요약본)_SW_공급망_보안_가이드라인.pdf
3.14MB

728x90
저작자표시

'12. 메일진' 카테고리의 다른 글

ITFIND 메일진 제1171호 산업분야별 정보메일 (발행 : 2024-05-31 )  (0) 2024.06.03
ITFIND 메일진 제1169호 산업분야별 정보메일 (발행 : 2024-05-17 )  (0) 2024.05.21
ITFIND 메일진 제1168호 산업분야별 정보메일 (발행 : 2024-05-10 )  (0) 2024.05.13
공공부문 초거대 AI 도입·활용을 위한 가이드라인(2024.04.23.)  (0) 2024.05.10
ITFIND 메일진 제1167호 산업분야별 정보메일 (발행 : 2024-05-03 )  (1) 2024.05.06
Posted by Mr. Slumber
,

티스토리툴바