[뉴스투데이=김한경 기자] 국가정보원(이하 국정원)은 25일 국가사이버안보센터 판교캠퍼스에서 과학기술정보통신부(이하 과기정통부)와 함께 '소프트웨어 공급망 보안 태스크포스(TF)'를 발족했다고 26일 밝혔다.

국정원과 과기정통부는 소프트웨어 공급망 전반의 사이버 위협 요인을 진단하고 보안 정책과 산업계 지원 방안을 마련하기 위해 TF를 만들었다며 소프트웨어 개발·공급·운영 등 공급망 전 단계에 걸친 사이버 보안 체계를 마련하겠다고 강조했다.

TF에는 국방부, 행정안전부, 디지털플랫폼정부위원회, 국군방첩사령부 등 관계기관 및 소프트웨어 산업계를 포함한 산·학·연 전문가들이 참여하고, 국정원 주관 ‘정책분과’와 과기정통부 주관 ‘산업분과’로 나뉘어 매월 그룹별 회의와 전체회의가 열릴 예정이다.

TF는 내년 1월까지 공공분야 소프트웨어 공급망 보안기준 등 보안정책과 산업지원 및 육성 방안을 마련하고 2027년 시행을 목표로 단계별 로드맵도 공개할 계획이다. 특히, 국정원은 현재 망분리 개선방안으로 추진 중인 다층보안체계(MLS)와도 연계해 공공분야 공급망 보안정책을 적극 수립해 나갈 예정이다.

국정원에 따르면 최근 사이버 위협은 개별 PC에 대한 해킹에 그치지 않고 소프트웨어 개발업체를 공격해 소프트웨어 제품이나 업데이트 파일에 악성코드를 주입함으로써 제품이 사용된 IT 장비나 PC 전체를 자동으로 감염시키는 등 소프트웨어 공급망을 공략하는 것이 특징이다.

특히 자율주행, 사물인터넷(IoT), 스마트시티 등 사회 전반에 디지털전환이 가속함에 따라 북한을 비롯한 국가 배후 및 국제 해킹조직들이 소프트웨어 공급망 공격을 통해 대규모 피해와 사회적 혼란을 노릴 가능성이 우려된다.

2020년 미국의 소프트웨어 공급사(‘SolarWinds’)에 대한 공급망 공격으로 18,000개 이상 기관이 피해를 입은 사건과 2023년 악성코드 삽입 금융 소프트웨어(‘3CX’)로 전 세계 60만명이 보안 피해를 당한 사건이 대표적이다.

신용석 대통령실 사이버안보비서관은 “전 세계적으로 사이버 안보에서 공공과 민간 협력의 중요성이 강조되는데 이번 TF 발족은 소프트웨어 공급망 보안 영역에서 공공과 민간 협력의 모범 사례가 될 것”이라고 말했다.