인공지능(AI), 클라우드, 사물인터넷(IoT) 등 디지털 기술이 우리 일상과 산업 전반에 깊숙이 융합되면서 소프트웨어(SW)는 디지털 전환의 핵심 요소로 자리 잡았습니다. 하지만 SW 개발 환경이 외부 공개SW(오픈소스)나 제3자 개발 컴포넌트를 적극적으로 활용하는 복잡한 상호 의존적 구조로 변화하면서, 이를 노린 ‘SW 공급망 공격(SW Supply Chain Attack)’이 새로운 안보적·경제적 위협으로 대두되고 있습니다.
기존의 단일 시스템이나 네트워크를 노린 위협과 달리, SW 공급망 공격은 개발 및 공급 단계의 취약점을 악용하여 악성코드를 삽입하는 방식으로, 한 번의 공격으로도 수많은 기업과 사용자에게 연쇄적인 피해를 입히는 막대한 파급력을 가집니다. 이미 미국, 유럽연합(EU) 등 글로벌 주요국은 SBOM(SW 자재명세서) 제출 의무화, 사이버 복원력법(CRA) 시행 등 강력한 제도를 통해 공급망 보안을 무역 장벽화하고 있습니다.
이에 대응하여 과학기술정보통신부(한국인터넷진흥원)와 국가정보원은 관계부처 합동으로 2026년 6월, 우리 기업들의 사이버 복원력을 확보하고 글로벌 규제 장벽을 극복하기 위한 「SW 공급망 보안 강화 로드맵」을 공식 발표하였습니다. 본 로드맵의 주요 추진 전략과 핵심 과제를 정리하여 공유해 드립니다.
정부는 "안전하고 책임 있는 공급망 보안 체계의 전환을 통한 사이버 복원력 확보"를 비전으로 삼고, 다음과 같은 3대 전략을 중심으로 정책을 추진합니다.
1. 공급망 위협 예방 역량 강화 (예방)
SW 생애 주기별 보안 기준 개발
보안 점검 인프라 및 테스트베드 확충
SBOM 기반 관리 모델 확산
2. 공급망 위협 신속 탐지·대응 체계 마련 (복원)
보안 취약점 발굴(버그바운티) 활성화
안보위해 제품 대응 및 국산 취약점 DB 구축
C-Clean(클리닝 서비스)을 통한 피해 확산 차단
3. 정책·제도적 기반 조성 (기반)
범정부 정책협력체계 가동
민간·공공분야 제도 정비
(* KISA 한국인터넷진흥원의 가이드라인 전문은 첨부파일 원문에서 확인할 수 있습니다.)

