전 세계적으로 디지털 전환이 가속화되면서, 소프트웨어(SW)의 결함이나 보안 취약점이 사회 전반에 큰 영향을 미치는 사례가 늘고 있다. 특히 SW가 단독으로 사용되는 것이 아니라 수많은 구성 요소, 오픈소스 코드, 외부 라이브러리, 외주 개발 등 복잡한 공급망을 통해 제작되고 운영되다 보니, 이 과정에서 발생하는 보안 문제는 단순한 기술적 결함을 넘어 국가 안보, 산업 생태계, 사회 기반시설 안정성에 직접적인 위협이 되고 있다. 이러한 맥락에서 제품과 서비스가 최종 사용자에게 도달하기까지의 전 과정에서의 보안 위협을 예방하고 관리하는 공급망 보안(Supply Chain Security)은 이제 선택이 아닌 필수의 영역이 되었다.
공급망 보안의 중요성이 특히 부각된 계기는 몇 가지 국제적 사건들이다. 첫 번째는 2020년 발생한 솔라윈즈(SolarWinds) 사태다. 해커들은 미국 솔라윈즈의 SW 빌드 환경에 침투해 정식 배포되는 업데이트 파일에 악성코드를 삽입했고, 이 업데이트를 설치한 수많은 기관들의 내부망이 노출되었다. 미국 재무부 등 주요 정부기관, 주요 기술 기업이 피해를 입었다.
두 번째는 2021년 발생한 캐세야(Kaseya) 사건이다. 해커 그룹 REvil은 캐세야의 정보기술(IT) 관리 SW에 제로데이 취약점을 이용한 악성코드를 심었고, 이를 통해 전 세계 1500개 이상의 기업이 랜섬웨어에 감염됐다.
세 번째는 2021년의 Log4j 취약점(Log4Shell) 사건이다. 아파치 Log4j는 전 세계 수억개 이상의 시스템에서 사용되는 오픈소스 로깅 라이브러리다. 이 라이브러리에서 발견된 심각한 취약점은 원격코드실행을 허용하며, 공격자는 단순한 문자열 입력만으로도 시스템을 완전히 장악할 수 있었다.
문제는 많은 기업들이 자사 시스템에 취약점이 포함돼 있다는 사실조차 인식하지 못하고 있었고, 몇몇 사건에서는 SW 제품을 구성하는 라이브러리, 패키지, 의존성 등 모든 구성 요소를 명세한 문서인 SBOM(Software Bill of Materials)의 부재가 치명적인 약점으로 드러났다. 나아가 이러한 사건들은 공급망 보안이 사회 전체 시스템의 복원력과 직결된다는 점을 명확히 보여줬다. 이에 따라 각국 정부는 관련 입법과 정책 마련에 속도를 내고 있다.
미국은 솔라윈즈 사태 이후 2021년 바이든 대통령이 사이버보안 강화를 위한 행정명령(EO 14028)을 발표하며 공급망 보안 등을 국가적 의제로 삼았고, 이 행정명령을 통해 미국 NIST는 공급망 보안 가이드라인을 새롭게 정비하여 민간의 보안 역량을 연방조달 기준에 반영하였다.
유럽연합(EU)의 경우, '사이버 복원력법(Cyber Resilience Act)'이 발효됐다. 이 법은 디지털 요소가 포함된 모든 제품에 대해 전체 생명주기 동안 보안을 유지할 의무를 부과하며, 고위험 제품의 경우 보안설계 및 유지관리 계획을 제출해야 한다.
우리나라도 그 중요성을 인식하고 대응을 강화하고 있으며, 과학기술정보통신부는 현재 '디지털안전법(가칭)' 제정을 추진하고 있다.
SW 공급망 보안은 특정 제품의 문제가 아닌, 국가 전반의 디지털 안전성, 경제 회복력, 산업 경쟁력을 좌우하는 핵심 요소가 됐고, 이제는 '누가 만든 코드인지' '어디에서 유통되었는지' '보안상 어떤 검증을 받았는지'를 모두 확인하고 관리해야 하는 시대가 됐다. 글로벌 사이버 보안 환경에서 뒤처지지 않기 위해서는, 선제적이고 체계적인 공급망 보안 전략을 마련하고 디지털 안전법 등으로 법제화하는 것이 시급하다.
김경환 법무법인 민후 변호사
