“무심코 쓴 오픈소스, 취약점 수두룩”…‘SW 공급망 보안 표준’ 마련한다

“개발자도 모르는 오픈소스”…23만 개 중 3.5% 보안 취약
솔라윈즈·MS 사태가 남긴 교훈…글로벌 연쇄 피해 가능
미·EU, 공급망 보안 규제 강화…수출 리스크 대응해야
KISA “산업별 맞춤 공급망 보안 표준 마련할 것”

등록 2025-12-07 오후 12:00:00

수정 2025-12-07 오후 7:11:00
가 가

[이데일리 권하영 기자] 국내 소프트웨어(SW) 기업들이 제품 개발 과정에서 사용하는 오픈소스 중 상당수가 보안 취약점을 안고 있는 것으로 나타났다. 미국과 유럽연합(EU) 등 주요국이 SW 공급망 보안 규제를 수출의 필수 조건으로 내걸고 있는 상황에서, SW 공급망 보안 체계 구축이 시급하다는 지적이다.

이동화 KISA 공급망안전정책팀장이 4일 서울 광화문에서 열린 ‘이슈앤톡’ 행사에서 ‘SBOM 기반 공급망 보안 모델 구축 성과’를 발표하고 있다. 사진=KISA

오픈소스 구성요소 들여다봤더니…1100개 ‘고위험 취약점’

한국인터넷진흥원(KISA)은 4일 서울 광화문에서 열린 ‘이슈앤톡’ 행사에서 ‘SBOM 기반 공급망 보안 모델 구축 성과 및 시사점’을 발표했다.

SW 공급망 보안은 SW 제품에 들어가는 모든 구성요소의 위험을 관리하는 개념이다. 특히 오픈소스를 포함한 모든 SW 구성요소를 정리한 소프트웨어자재명세서(SBOM)는 취약점이 생겼을 때 바로 추적·조치할 수 있는 공급망 보안의 출발점이 된다.

KISA는 올해 ‘SW 공급망 보안 점검 지원 사업’을 통해 기술 지원을 수행한 115개 사례를 분석한 결과, 기업 제품에 사용된 오픈소스 구성요소(컴포넌트) 총 23만1774개 중 약 3.5%에서 보안 취약점이 확인됐다고 밝혔다. 실제 해킹에 악용될 수 있는 ‘고위험 취약점’도 0.49% 포함됐는데, 이는 약 1100개가량의 오픈소스 요소가 악성코드 원격 실행 등 잠재적 침투 경로가 될 수 있다는 의미다.

이동화 KISA 공급망안전정책팀장은 “개발자가 모르는 사이 포함되는 오픈소스가 너무 많고, 조치되지 않은 취약점이 그대로 쓰이는 경우가 빈번하다”고 지적했다.

KISA는 이러한 위험을 줄이기 위해 2023~2024년 실증 사업을 거쳐 올해 총 60억 원 규모 ‘공급망 보안 모델 구축 사업’을 추진, △SBOM 기반 위협 탐지·조치 체계 구축(40억 원) △SW 개발 기업 대상 공급망 보안 점검(20억 원)을 각각 지원했다. 이를 통해 공급망 보안 체계를 개발해 내재화한 기업 사례(에이아이스페라·인젠트·알체라)를 확보했다. 보안 점검 실증을 진행한 A사의 경우, 점검 전 5300개에 달했던 제품 내 잠재 취약점이 컨설팅과 보안 조치를 거쳐 89.6% 급감한 효과를 거두기도 했다.

美·EU 공급망 보안 규제 강화…KISA, 산업별 표준 만든다

이처럼 공급망 보안 관리가 중요한 이유는 SW 공급망 특성상 단 하나의 취약점이 전 세계 피해로 확산될 수 있기 때문이다.

대표적 사례가 2020년 ‘솔라윈즈’ 사태다. 솔라윈즈 네트워크 관리 SW가 해킹되면서 악성코드 포함 업데이트가 배포됐고, 이를 사용하던 미국 국무부 등 정부 기관과 대기업 1만8000곳이 줄줄이 피해를 입었다.

지난해 발생한 ‘마이크로소프트(MS)-크라우드스트라이크’ 장애 역시 공급망 리스크의 파괴력을 여실히 보여줬다. 크라우드스트라이크의 보안 패치 오류가 MS 윈도OS와 충돌하며 전 세계 항공·금융·방송 시스템이 동시다발적으로 멈춘 것이다.

이에 미국과 유럽은 SW 공급망 보안 규제를 강화하는 추세다. 미국은 행정명령을 통해 연방정부 납품 시 SBOM 제출을 의무화했으며, EU는 내년 9월부터 취약점 보고 의무와 더불어 2027년 12월 ‘사이버복원력법(CRA)’을 시행해 디지털 제품 전체 공급망 보안을 강제할 계획이다.

이는 국내 SW 기업의 글로벌 수출 경쟁력에도 큰 영향을 미칠 수 있다. SW 개발 기업 입장에선 국가마다 다른 규제를 모두 따라가는 데 어려움이 크다. 이에 KISA는 미국의 보안 소프트웨어 개발 프레임워크(SSDF), 식품의약국(FDA) 가이드라인, EU의 CRA 등 주요 규제 요구사항 118개를 정리한 ‘자가진단 체크리스트’를 개발해 배포할 예정이다.

이 팀장은 “글로벌 규제마다 요구 기준이 달라 기업들이 혼란스러워한다”며 “체크리스트를 통해 기업 스스로 준수 여부를 쉽게 확인하도록 지원할 것”이라고 말했다.

KISA는 내년에도 올해와 비슷한 수준의 예산을 유지해 의료·교통·금융 등 분야별 사례를 고도화하고, 산업별 특화 공급망 보안 표준을 마련한다는 계획이다.

이 팀장은 “산업마다 개발 환경과 공급망 구조가 다른 만큼, 분야별 프레임워크를 구축하는 것이 목표”라며 “우리 기업들이 강화되는 글로벌 규제에 유연하게 대응해 글로벌 경쟁력을 높일 수 있도록 실질적인 지원을 이어가겠다”고 강조했다.