범정부 SW 공급망 보안 로드맵, 올해 발표되나?… 핵심 키워드는 ‘사이버 복원력’

공격을 막는 것만으로는 부족하다. 회복할 수 있는 능력이 공급망 보안의 기준이 된다.

지난 7월 7일~8일, 한국정보보호학회 공급망보안연구회 주최로
서울 양재 aT센터에서 『2025년도 공급망보안 워크숍』이 개최되었습니다.
이 자리에서 국가정보원 사이버안보센터(NCSC)는
‘SW 공급망 보안 로드맵’을 연내 수립하고 2027년부터 제도 시행을 추진 중임을 밝혔습니다.

---

🚨 왜 지금 ‘공급망 보안’인가?

최근 수년 간, 글로벌 주요 기업들이 겪은 보안 침해 사고의 다수가
3rd Party 소프트웨어나 라이브러리, 오픈소스 등을 통한 공급망 공격에서 발생했습니다.

정부는 이를 국가적 보안 리스크로 인식하고,
‘범정부 SW 공급망 보안 태스크포스(TF)’를 중심으로
다음과 같은 목표를 세웠습니다:

• ✅ 신뢰할 수 있는 SW 공급망 생태계 조성
• ✅ 사이버 복원력(Cyber Resilience) 확보
• ✅ 보안 취약점 자동화 관리 체계 도입
• ✅ 전문 인력 양성 및 체계 강화

복잡한 IT 인프라에서는 모든 공격을 완벽하게 막는 것이 비현실적인 만큼,
이제는 “빠르게 식별하고 회복할 수 있는 체계”가 더 중요해졌습니다.

---

📌 2027년부터 제도화 목표

NCSC 측은 “올해 안에 로드맵 수립을 마치고,
2027년부터 제도 시행을 목표로 하고 있다”고 밝혔습니다.
다만 “시기는 유동적일 수 있으며, 정부는 유관기관과의 협의를 거쳐 단계적으로 추진할 것”이라 덧붙였습니다.

---

🌍 국제 동향도 무시할 수 없다

한국정보보호학회 이만희 교수는 개회사에서 다음과 같이 강조했습니다:

“공급망 보안은 이제 국가 안보와 경제 안보의 핵심 요건입니다.
유럽은 2027년부터 보안 요건을 충족하지 못한 디지털 제품의 시장 진입을 제한할 수 있고,
미국 역시 연방 및 지방정부, 공공기관에서 관련 요건을 강화하고 있습니다.”

이는 결국, 국내 기업이 수출 경쟁력을 유지하기 위해서라도
국제 규제에 부합하는 공급망 보안 체계를 갖춰야 함을 의미합니다.

---

🧠 행사 주요 발표 내용

이틀간 진행된 워크숍에서는 다음과 같은 실용적 발표와 토론이 이뤄졌습니다:

• 알란 프리드만(CISA 어드바이저)
  – ‘공급망 투명성을 위한 전략적 방향’ 기조 강연
• 제이슨 크래머(오브젝트시큐리티 연구엔지니어)
  – AI 시대 공급망 보안 위협 조망
• 미국 FDA의 SBOM 요구사항 소개
• 국내 의료기기 보안 사례 발표
• IITP 국책과제 진행 현황 공유
• 금융권의 실전 대응 전략 및 사례
• 국내외 보안솔루션 기업들의 기술 동향 발표

---

🧩 레드펜소프트의 방향성과 연관성은?

레드펜소프트는 이미 SBOM 중심의 자동화된 분석 및
AI 기반 VEX 대응 기술을 선보이며
공급망 보안의 핵심 가치인 ‘사이버 복원력’ 확보에 집중하고 있습니다.

✨ XSCAN 솔루션은

• SBOM 자동 생성
• 취약점 우선순위 분석
• VEX 기반 위협 식별 및 대응 체계
  를 통해, 정책적 변화에 능동적으로 대응할 수 있는 기술 기반을 제공합니다.

---

📌 본 워크숍과 정부 정책 발표 흐름은,
레드펜소프트와 같은 기술 기업이 고객사 보안 체계 구축 시 고려해야 할 방향성을 더욱 분명하게 만들어주고 있습니다.

👉 관련 기술 또는 대응 방안이 궁금하신 분은 레드펜소프트 공식 홈페이지 또는 문의 채널을 통해 연락해 주세요.