한국인터넷진흥원(KISA)이 글로벌 소프트웨어(SW) 공급망 보안 규제 강화에 대응해 국내 기업의 수출 경쟁력을 높이기 위한 본격적인 지원에 나섰다. 

KISA는 지난 27일 열린 1분기 '이슈앤톡' 기자간담회에서 '고조되는 공급망 위협 대응방안'을 주제로 발표를 진행했다. SW 공급망 보안 위협은 제품의 설계부터 개발, 유통, 폐기까지 전 과정에서 발생할 수 있는 사이버 공격 가능성을 의미한다

KISA는 특히 소프트웨어(SW) 개발 과정에서 오픈소스 SW 등 외부 소프트웨어의 활용이 증가함에 따라, 악성코드 유입과 보안 취약점에 대한 체계적인 관리가 더욱 중요해지고 있다고 강조했다.

KISA는 이 같은 SW 공급망 보안 이슈가 국내외서 빠르게 확산하고 있으며, 이에 따라 주요 수출국인 미국과 유럽연합(EU)에서 관련 정책이 강화되고 있다고 설명했다.

미국은 2020년 '솔라윈즈 해킹 사건' 이후 강도 높은 SW 공급망 보안 행정명령을 발표하고, 정부 조달용 소프트웨어에 대해 '소프트웨어 명세서(SBOM)' 제출과 자체 보안 증명을 요구하고 있다. EU도 2021년부터 '사이버 복원력법(CRA)'을 시행해 네트워크 연결이 가능한 모든 디지털 제품에 보안 요건을 의무화했다.

이처럼 글로벌 규제가 강화되면서, 국내 기업들도 수출 경쟁력을 유지하기 위해 제품 개발 단계부터 보안을 설계에 반영해야 할 필요성도 제기된다. 특히 미국 등 주요 수출국은 의료기기와 커넥티드카 등 민감한 분야를 중심으로 규제 정책을 빠르게 마련하고 있어, 해당 산업에 진출한 국내 기업들의 대응이 시급한 상황이다.

실제로 미국 식품의약청(FDA)은 제품 인허가 시 소프트웨어 명세 목록(SBOM) 제출을 의무화하고 있으며, 커넥티드카 분야에서는 보안 리스크를 이유로 중국·러시아 등에서 개발된 소프트웨어와 일부 하드웨어의 미국 수출을 2027년부터 전면 금지하기로 했다.

이에 KISA는 지난주부터 'SBOM 기반 SW 공급망 보안 구축 지원사업'을 공고하고 본격적인 기업 지원에 나섰다. 총 8개 기업을 선정해 최대 3억7500만원까지 정부 지원을 제공하며, △글로벌 규제에 대응해야 하는 수출 기업(6개 과제)이거나 공급망 보안 리스크가 높은 기업(2개 과제)에 우선 지원한다는 방침이다. 또 실증 사업을 통해 도출한 사례를 기반으로 체크리스트 및 가이드라인도 배포할 예정이다.

KISA 관계자는 "의료기기나 커넥티드카의 경우 수출 대상국의 법률에 따라 당장 내년부터 제약을 받을 수 있다"며 "대국민 서비스처럼 피해 파급력이 큰 분야도 시급하게 대응이 필요한 영역으로 판단하고 있다"고 말했다.