[뉴스토마토 박재연 기자] 오는 2027년부터 유럽연합(EU)의 사이버복원력법(CRA) 전면 시행이 예고된 가운데 국내 IT·소프트웨어(SW) 업계가 긴장하고 있습니다. 제품 개발 초기부터 보안을 내재화하지 않으면 앞으로는 유럽 수출길이 막히게 되는 만큼 규모가 되는 기업들 중심으로 소프트웨어 자재명세서(SBOM) 관리 체계 도입을 서두르는 모습입니다.
CRA는 유럽 내 판매·유통되는 모든 디지털 제품의 보안을 법적으로 의무화하는 제도입니다. 기업은 SW가 탑재된 △산업용 설비 △스마트 기기 △로봇을 포함해 업데이트와 패치까지 포함한 제품 생애주기 전반에서 보안성을 증명해야 하는데요. 위반 시에는 판매 금지 조치와 과징금이 부과됩니다. EU는 특히 이번 법안에 SBOM 도입을 명시해 공급망 보안을 강화하겠다는 입장입니다. SBOM은 SW 제품에 포함된 모든 구성 요소와 라이선스, 버전 정보를 기록한 문서로 취약점 관리의 기초가 됩니다. 때문에 유럽 시장을 염두에 둔 국내 기업들은 대응책 마련이 필요한 상황인데요.
국내 SW 기업 중에서는
현대오토에버(307950)가 지난 1일 HD현대건설기계, HD현대인프라코어를 대상으로 '사이버 보안 위험 평가 사업'을 수주해 계열사 CRA 대응에 나섰습니다. 이번 수주로 회사는 모빌리티 보안 사업을 일반 차량에서 건설기계까지 확장했는데요. 건설기계도 CRA 준수가 필수인 상황이기 때문입니다. IT 서비스 기업 삼성SDS
(삼성에스디에스(018260))는 SBOM을 자동 생성하는 방식으로 자사의 SW 구성 요소를 쉽게 확인할 수 있는 체계를 구축한 상황입니다. 이를 통해 SW 보안 취약점 분석이 용이하다는 게 회사의 설명입니다. 티맥스소프트도 자사 제품에 SBOM 관리 체계를 적용하면서 규제 대응을 강화하고 있습니다.
보안 업계에서도 대응 기류가 감지됩니다. SK쉴더스도 SBOM을 포함한 보안 컨설팅을 제공 중이라고 밝혔는데요. SK쉴더스 관계자는 "EU의 CRA를 비롯한 글로벌 규제 동향을 면밀히 모니터링하고 있다"며 "SBOM을 포함한 보안 컨설팅을 고객사에 제공해 안전한 운영 환경을 구축할 수 있게 지원할 것"이라고 설명했습니다.
안랩(053800)도 제품의 기획·설계·업데이트 등 제품 생애주기 전반에서 보안성을 내재화해 CRA 핵심 요구 사항을 적용한 상태입니다. 안랩 측은 "EU의 CRA를 포함, 글로벌 보안 규제·표준 동향을 살피고 있다"며 "국제 규제 변화에 맞춰 대응 체계를 지속적으로 강화해 나갈 방침"이라고 강조했습니다.
다만 이들 기업들과 달리 중소·영세 기업의 경우 관련 대응에 나서는 데 한계가 있을 수밖에 없는데요. SBOM 체계를 적용 중인 한 기업 관계자는 "SBOM 적용 과정에서 추가 공정과 비용이 불가피한 상황"이라며 "인력·예산이 풍족한 대기업 계열사는 문제가 없겠으나, 그렇지 못한 영세 기업들은 관련 체계를 적용하지 못한 경우가 여전히 많다"고 설명했는데요.
이런 업계의 어려움을 고려해 정부도 지원에 속도를 내고 있습니다. 한국인터넷진흥원(KISA)과 과학기술정보통신부는 지난 7월 'SBOM 기반 공급망 보안 모델 구축 지원사업' 협약식을 개최했는데요. 지원사업 주관사로 선정된 정보보안 SW기업 '휴네시온'은 국내 실정에 적합한 SBOM 기반 공급망 보안 모델을 선제적으로 구축할 계획입니다. 구축 모델을 활용해 궁극적으로는 SBOM 체계 적용이 어려운 기업에도 솔루션을 제공하겠다는 입장입니다.
KISA 관계자는 "휴네시온이 SBOM 기반 공급망 보안 모델을 현재 구축 중"이라며 "구축에는 다소 시간이 걸릴 것으로 보이나, 오는 10월에서 12월 사이에는 성과를 공유할 예정"이라고 설명했습니다. 그러면서 "이를 통해 향후 SBOM 체계 적용이 어려운 영세 기업들에도 기술 지원 등의 혜택이 제공될 것으로 기대하고 있다"고 덧붙였습니다.
박재연 기자 damgomi@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지