과기정통부·국정원, 'SW 공급망 보안 로드맵' 발표
공공 정보화사업·보안 검증 절차에 SBOM 제출 반영
2028년 외교·안보·국방 납품 IT제품 체크리스트 우선 적용
![[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.01.01. photo@newsis.com *재판매 및 DB 금지 *재판매 및 DB 금지](https://img1.newsis.com/2025/12/31/NISI20251231_0002031294_web.jpg?rnd=20251231181706)
[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.01.01. [email protected] *재판매 및 DB 금지 *재판매 및 DB 금지
[서울=뉴시스]윤정민 기자 = 정부가 공공기관에 납품하는 일부 소프트웨어(SW) 제품을 대상으로 일종의 '성분 표시제'를 도입한다. 내년부터 공공 정보화사업과 보안 검증 절차에 SW 자재명세서(SBOM) 제출을 요구하는 절차를 단계적으로 적용한다.
24일 과학기술정보통신부와 국가정보원이 공개한 'SW 공급망 보안 강화 로드맵'에 따르면 정부는 내년부터 공공 분야 정보시스템 구축·운영 사업 보안 요구사항에 SBOM 제출과 취약점 대응 절차를 넣을 계획이다.
SBOM은 소프트웨어 안에 어떤 오픈소스, 외부 라이브러리, 상용 부품이 들어갔는지 적어놓은 목록이다. 식품 성분표처럼 구성요소를 알 수 있어 특정 오픈소스에서 취약점이 발견됐을 때 어느 제품과 기관이 영향을 받는지 빠르게 찾는 데 쓰인다.
공공 정보화사업부터 SBOM 제출 단계 적용
![[서울=뉴시스] 윤정민 기자 = 과학기술정보통신부 관계자가 24일 서울 서초구 aT센터에서 한국정보보호학회 주관으로 열린 '공급망보안 워크숍'에서 'SW 공급망 보안 로드맵'을 발표하고 있다. 2026.06.24. alpaca@newsis.com](https://img1.newsis.com/2026/06/24/NISI20260624_0002169141_web.jpg?rnd=20260624151845)
[서울=뉴시스] 윤정민 기자 = 과학기술정보통신부 관계자가 24일 서울 서초구 aT센터에서 한국정보보호학회 주관으로 열린 '공급망보안 워크숍'에서 'SW 공급망 보안 로드맵'을 발표하고 있다. 2026.06.24. [email protected]
로드맵 핵심은 완성품 중심 보안 점검을 개발·공급 단계까지 넓히는 것이다. 기존에는 공공기관이 SW나 정보통신제품을 도입할 때 제품의 보안 기능과 적합성을 주로 확인했다. 앞으로는 제품이 어떤 코드와 부품으로 만들어졌는지, 취약점이 발견됐을 때 누가 어떻게 고칠지도 함께 확인하겠다는 뜻이다.
다만 모든 공공 납품 SW에 SBOM 제출을 즉시 일괄 의무화하는 것은 아니다. 정부는 올해부터 공공 분야 SBOM 관리체계를 개발하고 국가·공공기관이 도입하는 소프트웨어 제품의 SBOM을 등록·관리할 수 있는 통합 관리 시스템을 구축할 계획이다.
국정원은 내년부터 보안기능 시험을 신청한 SW 제품을 대상으로 SBOM 생성·검증체계를 실증한다. 이후 하드웨어 제품 펌웨어, 클라우드 서비스 등 다양한 제품군으로 실증 범위를 넓힐 계획이다.
공공 분야에 도입되는 SW 취약점 관리를 위해 SBOM 제출과 SW 보안취약점 관리 담당관 지정 등도 국가·공공기관이 따르는 사이버보안 관련 지침에 반영된다.
정보통신제품을 도입·운영하는 기관이 따라야 할 '공급망 사이버보안 위험관리 절차서'도 내년부터 마련·적용한다. 기관마다 제각각인 제품 도입·운영 절차를 정리해 취약점 발견 시 대응 주체와 조치 절차를 분명히 하려는 취지다.
정부는 기업 부담을 줄이기 위해 SBOM 항목을 최소화하겠다는 방침이다. 해외 수출 기업에 이중 규제가 되지 않도록 미국·유럽 등 주요국 요구사항과 표준화 동향을 고려해 항목을 정한다.
취약점 방치 제품은 공공 조달 제한
안보 위해 제품은 해외에서 위해성이 나왔거나 국가 배후 해킹조직 관여 가능성 또는 해킹 사고 가능성이 있는 제품을 말한다. 국정원은 민간·군 전문가 등이 참여하는 안보 위해 평가 협의체를 구성해 대상 제품 선정과 대응 조치 방안을 논의할 계획이다.
국정원 관계자는 이날 발표에서 "내년에는 개발·공급업체 대상 체크리스트를 개발·보급하고 2028년부터 외교·안보·국방 등 주요 기관 제품 납품 시 체크리스트 제출을 우선 적용한 뒤 단계적으로 확대할 예정"이라고 말했다.
침해사고나 중대 취약점 발견 이후 후속 조치가 미흡한 기업·제품에 대해서는 공공 분야 도입 제재도 강화된다. 국정원은 중대한 취약점이 확인된 SW 제품에 대해 보안 패치 등 조치가 끝날 때까지 공공 조달을 일시 제한하는 방안을 마련하겠다고 밝혔다.
보안 검증 대상 넓히고 내후년 취약점 DB 구축
![[서울=뉴시스] 윤정민 기자 = 국가정보원 관계자가 24일 서울 서초구 aT센터에서 한국정보보호학회 주관으로 열린 '공급망보안 워크숍'에서 'SW 공급망 보안 로드맵'을 발표하고 있다. 2026.06.24. alpaca@newsis.com](https://img1.newsis.com/2026/06/24/NISI20260624_0002169143_web.jpg?rnd=20260624151907)
[서울=뉴시스] 윤정민 기자 = 국가정보원 관계자가 24일 서울 서초구 aT센터에서 한국정보보호학회 주관으로 열린 '공급망보안 워크숍'에서 'SW 공급망 보안 로드맵'을 발표하고 있다. 2026.06.24. [email protected]
정부는 내년부터 공공기관 도입 제품이 국가 보안 기준에 맞는지 확인하는 보안적합성 검증 제도의 보안 요구사항을 개선하고 검증 대상 제품을 확대한다. 현재는 보안 기능이 있는 정보통신기기가 중심이지만 앞으로는 해킹 사고가 자주 발생하거나 중대한 취약점 발견 시 국가기관 전산망에 큰 피해를 줄 수 있는 IT제품까지 들여다본다.
올해부터는 보안적합성 검증 또는 제품 도입 단계에서 기업이 공급망 위험을 자체적으로 확인하고 증명할 수 있는 세부 기준을 마련한다.
내년부터는 보안 취약점 추적·관리를 위한 SBOM 제출과 '안전한 SW 개발 방법론' 준수 여부 등을 검증 요건으로 확인할 예정이다. 2028년부터는 국내외 상용·공개 SW 취약점 정보를 모으는 국가 데이터베이스도 구축한다.
정부가 공급망 보안 제도화에 나선 것은 SW 개발 구조가 복잡해졌기 때문이다. 최근 SW는 자체 개발 코드뿐 아니라 오픈소스, 상용 라이브러리, 외주 개발 코드, 클라우드 서비스 등을 조합해 만들어진다. 이 중 하나만 뚫려도 같은 부품을 쓴 여러 기업과 기관으로 피해가 번질 수 있다.
◎공감언론 뉴시스 [email protected]
