【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]“무심코 쓴 오픈소스, 취약점 수두룩”…‘SW 공급망 보안 표준’ 마련한다

온카뱅크관리자

2025-12-07 12:07:29

<div id="layerTranslateNotice" style="display:none;"></div> “개발자도 모르는 오픈소스”…23만 개 중 3.5% 보안 취약 솔라윈즈·MS 사태가 남긴 교훈…글로벌 연쇄 피해 가능 미·EU, 공급망 보안 규제 강화…수출 리스크 대응해야 KISA “산업별 맞춤 공급망 보안 표준 마련할 것” 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="uD48IhrNDo">
 [이데일리 권하영 기자] 국내 소프트웨어(SW) 기업들이 제품 개발 과정에서 사용하는 오픈소스 중 상당수가 보안 취약점을 안고 있는 것으로 나타났다. 미국과 유럽연합(EU) 등 주요국이 SW 공급망 보안 규제를 수출의 필수 조건으로 내걸고 있는 상황에서, SW 공급망 보안 체계 구축이 시급하다는 지적이다.
 <figure class="figure_frm origin_fig" contents-hash="b87bbd9a83ddd884f8cd415bb18b72fffe5424706ef485ead126e8788b0a526e" dmcf-pid="zr6PhSsAIn" dmcf-ptype="figure">
 <img alt="이동화 KISA 공급망안전정책팀장이 4일 서울 광화문에서 열린 ‘이슈앤톡’ 행사에서 ‘SBOM 기반 공급망 보안 모델 구축 성과’를 발표하고 있다. 사진=KISA" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/07/Edaily/20251207120259550miif.jpg" data-org-width="670" dmcf-mid="UcGHMe6bOg" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/07/Edaily/20251207120259550miif.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 이동화 KISA 공급망안전정책팀장이 4일 서울 광화문에서 열린 ‘이슈앤톡’ 행사에서 ‘SBOM 기반 공급망 보안 모델 구축 성과’를 발표하고 있다. 사진=KISA
 </figcaption>
 </figure>
 <div contents-hash="a6c661cbe4d45d6703fcdc53c262abb41c8b250e4e79dfe8c2a865b6caa437b4" dmcf-pid="qmPQlvOcsi" dmcf-ptype="general">
 오픈소스 구성요소 들여다봤더니…1100개 ‘고위험 취약점’
 </div>
 한국인터넷진흥원(KISA)은 4일 서울 광화문에서 열린 ‘이슈앤톡’ 행사에서 ‘SBOM 기반 공급망 보안 모델 구축 성과 및 시사점’을 발표했다. 
 SW 공급망 보안은 SW 제품에 들어가는 모든 구성요소의 위험을 관리하는 개념이다. 특히 오픈소스를 포함한 모든 SW 구성요소를 정리한 소프트웨어자재명세서(SBOM)는 취약점이 생겼을 때 바로 추적·조치할 수 있는 공급망 보안의 출발점이 된다. 
 KISA는 올해 ‘SW 공급망 보안 점검 지원 사업’을 통해 기술 지원을 수행한 115개 사례를 분석한 결과, 기업 제품에 사용된 오픈소스 구성요소(컴포넌트) 총 23만1774개 중 약 3.5%에서 보안 취약점이 확인됐다고 밝혔다. 실제 해킹에 악용될 수 있는 ‘고위험 취약점’도 0.49% 포함됐는데, 이는 약 1100개가량의 오픈소스 요소가 악성코드 원격 실행 등 잠재적 침투 경로가 될 수 있다는 의미다.
 이동화 KISA 공급망안전정책팀장은 “개발자가 모르는 사이 포함되는 오픈소스가 너무 많고, 조치되지 않은 취약점이 그대로 쓰이는 경우가 빈번하다”고 지적했다.
 KISA는 이러한 위험을 줄이기 위해 2023~2024년 실증 사업을 거쳐 올해 총 60억 원 규모 ‘공급망 보안 모델 구축 사업’을 추진, △SBOM 기반 위협 탐지·조치 체계 구축(40억 원) △SW 개발 기업 대상 공급망 보안 점검(20억 원)을 각각 지원했다. 이를 통해 공급망 보안 체계를 개발해 내재화한 기업 사례(에이아이스페라·인젠트·알체라)를 확보했다. 보안 점검 실증을 진행한 A사의 경우, 점검 전 5300개에 달했던 제품 내 잠재 취약점이 컨설팅과 보안 조치를 거쳐 89.6% 급감한 효과를 거두기도 했다.
 美·EU 공급망 보안 규제 강화…KISA, 산업별 표준 만든다
 이처럼 공급망 보안 관리가 중요한 이유는 SW 공급망 특성상 단 하나의 취약점이 전 세계 피해로 확산될 수 있기 때문이다.
 대표적 사례가 2020년 ‘솔라윈즈’ 사태다. 솔라윈즈 네트워크 관리 SW가 해킹되면서 악성코드 포함 업데이트가 배포됐고, 이를 사용하던 미국 국무부 등 정부 기관과 대기업 1만8000곳이 줄줄이 피해를 입었다.
 지난해 발생한 ‘마이크로소프트(MS)-크라우드스트라이크’ 장애 역시 공급망 리스크의 파괴력을 여실히 보여줬다. 크라우드스트라이크의 보안 패치 오류가 MS 윈도OS와 충돌하며 전 세계 항공·금융·방송 시스템이 동시다발적으로 멈춘 것이다.
 이에 미국과 유럽은 SW 공급망 보안 규제를 강화하는 추세다. 미국은 행정명령을 통해 연방정부 납품 시 SBOM 제출을 의무화했으며, EU는 내년 9월부터 취약점 보고 의무와 더불어 2027년 12월 ‘사이버복원력법(CRA)’을 시행해 디지털 제품 전체 공급망 보안을 강제할 계획이다.
 이는 국내 SW 기업의 글로벌 수출 경쟁력에도 큰 영향을 미칠 수 있다. SW 개발 기업 입장에선 국가마다 다른 규제를 모두 따라가는 데 어려움이 크다. 이에 KISA는 미국의 보안 소프트웨어 개발 프레임워크(SSDF), 식품의약국(FDA) 가이드라인, EU의 CRA 등 주요 규제 요구사항 118개를 정리한 ‘자가진단 체크리스트’를 개발해 배포할 예정이다.
 이 팀장은 “글로벌 규제마다 요구 기준이 달라 기업들이 혼란스러워한다”며 “체크리스트를 통해 기업 스스로 준수 여부를 쉽게 확인하도록 지원할 것”이라고 말했다.
 KISA는 내년에도 올해와 비슷한 수준의 예산을 유지해 의료·교통·금융 등 분야별 사례를 고도화하고, 산업별 특화 공급망 보안 표준을 마련한다는 계획이다.
 이 팀장은 “산업마다 개발 환경과 공급망 구조가 다른 만큼, 분야별 프레임워크를 구축하는 것이 목표”라며 “우리 기업들이 강화되는 글로벌 규제에 유연하게 대응해 글로벌 경쟁력을 높일 수 있도록 실질적인 지원을 이어가겠다”고 강조했다.
 권하영 (kwonhy@edaily.co.kr) 
 </section> 
 </div> 
 Copyright © 이데일리. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기