AI 시대, SW 공급망 보안 강화 로드맵 발표
AI 기반 공격 대비, SW 공급망 보안 로드맵 발표
과학기술정보통신부와 국가정보원은 2026년 4월 24일, AI 일상화 시대에 대비한 소프트웨어(SW) 공급망 보안 로드맵을 공식 발표했다. 이번 로드맵은 24일부터 25일까지 양일간 진행되는 2026년도 공급망 보안 워크숍에서 공개되며, 국가사이버안보센터와 한국인터넷진흥원 누리집을 통해 상세 내용을 확인할 수 있다.
디지털 전환 핵심, SW 공급망의 복잡성과 위협
소프트웨어는 제조, 교통, 의료 등 다양한 산업 분야에 융합되며 디지털 전환의 중추 역할을 하고 있다. 그러나 SW 공급망이 점차 확대되고 복잡해지면서, 이로 인한 취약점을 노린 새로운 유형의 사이버 위협이 여러 기관에 연쇄적인 피해를 초래하고 있다.
특히, 고성능 인공지능(AI)을 활용한 공격은 취약점 탐지와 자동화된 공격 수행을 통해 공격 속도와 규모를 크게 증가시키고 있어, 기존의 SW 공급망 보안 체계로는 방어에 한계가 있다.
로드맵의 3대 전략과 추진 방향
과기정통부와 국정원은 이번 로드맵을 통해 기업과 기관의 보안 역량 강화, 공급망 공격 대응체계 마련, 정책 기반 조성 등 SW 공급망 보안 강화를 위한 종합적인 전략을 제시했다.
- 보안 내재화 및 투명성 제고: 개발과 공급 단계부터 보안을 내재화하고, SW 투명성을 높여 사고 예방 역량을 강화한다. 공급망 보안 기준과 가이드를 개발하고, 기업 보안 수준 점검과 개발 환경 전환 지원을 추진한다. SBOM(Software Bill of Material)을 활용한 공급망 보안 관리 모델 확산과 AI 적용 자동화 연구도 포함된다. 또한, 보안 인식 제고와 보안 전문 인력 양성을 통해 보안 중심 개발 문화를 정착시킨다.
- 신속한 탐지 및 대응 체계 구축: 공급망 위협의 빠른 탐지와 대응을 위해 버그바운티, 취약점 신고포상제, 신고·조치·공개 제도(CVD/VDP) 등 취약점 발굴 채널을 확대한다. AI 기반 공급망 방어체계를 구축해 신속한 위협 탐지와 조치를 가능하게 한다. 공공납품 정보통신제품의 안보위해 여부 검증 및 대응 방안도 마련한다. 민간과 공공 분야별 위험관리 체계를 구축하고 상호 협력을 통해 위협 확산을 방지한다.
- 정책 추진체계 및 제도 정비: 개발부터 사후관리까지 SW 공급망 위협 관리를 위한 정책 추진체계를 구축하고, 범정부 SW 공급망 보안협의체를 구성한다. 공급망 보안 포럼 운영으로 민간 자율 활동을 지원하며, 보안 제도에 공급망 보안 요소를 포함하도록 정비한다. 보안적합성 제도의 대상 제품 확대와 요구사항 세분화, 사이버보안 선도국과의 협력 강화, 국내 인증제도와 상호인정 확대를 통해 기업의 해외 진출도 지원한다.
관계자 발언
임정규 과기정통부 정보보호네트워크정책관은 "복잡해지는 SW 공급망을 노린 사이버 위협이 증가하고, AI를 활용한 빠르고 광범위한 사이버 공격이 본격화되는 상황에서 공급망 보안의 중요성이 그 어느 때보다 커졌다"며 "이번 로드맵 발표를 계기로 공급망 보안을 지속적으로 강화해 나가겠다"고 밝혔다.
국가정보원 관계자는 "SW 공급망 보안 로드맵이 국가와 기업의 사이버안보 수준을 한 단계 끌어올리는 중요한 이정표가 될 것"이라며 "민관 협력을 통해 글로벌 공급망 위협에 선제적으로 대응하겠다"고 강조했다.
