SBS Biz

[팀 맥키 블랙덕 SW 공급망 위협 전략 부문 총괄이 13일 경기 과천 DX타워에서 열린 기자간담회에서 발표하고 있다 (사진=연합뉴스)]

유럽연합(EU) 소프트웨어(SW) 공급망 보안 규제가 오는 9월부터 본격 시행되는 가운데 단순히 소프트웨어 구성 목록(SBOM)을 제출하는 수준만으로는 규제 대응에 한계가 있다는 지적이 나왔습니다.



글로벌 오픈소스 보안 기업 블랙덕은 국내 총판사 쿠도커뮤니케이션과 함께 13일 경기 과천 DX타워에서 기자간담회를 열고 EU '사이버 복원력 법안(CRA·Cyber Resilience Act)' 대응 전략을 발표했습니다.

CRA는 EU 시장에서 판매되는 디지털 요소 포함 제품 전반에 사이버 보안 요구사항을 의무화한 규제로, 지난해 12월 공식 발효됐고, 올 9월 취약점 관리 의무를 시작으로 내년 12월까지 단계적으로 시행될 예정입니다.

규정을 위반할 경우 전 세계 매출의 최대 4%에 달하는 과징금이 부과될 수 있으며, EU 공동 시장 접근 제한 조치까지 받을 수 있습니다.

특히 CRA는 제품 개발사나 본사 소재지 관계없이 EU 시장에서 SW가 포함된 제품을 판매하는 모든 기업에 적용되면서, 제조사가 규정을 준수하지 못할 경우 책임이 수입사와 유통사로까지 확대되는 구조여서 공급망 전반에 영향을 미쳐, 유럽 시장에 진출한 국내 기업 역시 대응이 시급한 상황입니다.



블랙덕에 따르면 최근 수년간 기업들은 SW 세부 구성 요소를 기록하는 'SW 자재 명세서'(SBOM) 생성과 관리에 집중해 왔지만 SBOM 제출만으로는 CRA가 요구하는 수준의 공급망 보안을 충족하기 어렵다는 것이 회사 측 설명입니다.

CRA가 기업에 요구하는 기준도 기본 보안 설정 적용, 공개된 제3자 취약점 제거, 신규 취약점 발생 시 24시간 내 보고, 테스트 과정 전반의 문서화, 오픈소스 거버넌스 체계 구축, 적합성 선언서 확보 등으로 구체적입니다.

블랙덕은 이에 대응하기 위한 기술 전략도 단계별로 제시했는데, 먼저 기업들이 당장 착수해야 할 과제로는 SW 구성 분석(SCA)을 통한 오픈소스 컴포넌트 취약점 점검과 제3자 리스크 관리, 정적 분석 기반 자체 코드 취약점 제거, 보안 테스트를 통한 프로토콜 수준 공급망 검증 등을 꼽았습니다.

이를 통해 기업들이 최소한 올해 9월 이전까지는 SBOM 작성과 외부 리스크 출처 파악 체계를 갖춰야 한다는 것이 블랙덕의 권고로, 특히 9월부터 취약점 공개 의무가 본격 적용되는 만큼, 일회성 점검이 아닌 상시 모니터링 체계 구축이 필수라고 강조했습니다.

아울러 내년부터 설계 단계부터 보안을 내재화하는 '시큐어 바이 디자인(Secure by Design)' 원칙이 의무화되는 만큼 관련 예산과 조직 체계도 지금부터 준비해야 한다고 조언했습니다.