법무법인(유) 화우

정부 「SW 공급망 보안 강화 로드맵」 발표

  • 뉴스레터
  • 2026.07.03

과학기술정보통신부·국가정보원·한국인터넷진흥원(KISA) 등 관계부처는 2026년 6월 「AI 일상화 시대를 준비하는 SW 공급망 보안 강화 로드맵」(이하 “로드맵”)을 합동 발표하였습니다. 로드맵은 SolarWinds·Log4Shell처럼 한 번의 침해가 다수 이용자에게 연쇄 피해를 일으키는 SW 공급망 공격에 대응하기 위해, 운영 단계에 머물던 보안을 개발·공급 全단계로 확장하고 SBOM(SW 구성요소 명세서)을 통한 투명성 확보를 핵심 축으로 하였습니다.

 

다만 본 로드맵은 그 자체로 의무를 창설하는 법령이 아니라 2026~2028년 정부의 정책 추진 계획으로, 향후 공공조달 SW의 SBOM 제출·보안적합성 검증 강화, 민간 시범인증·사후관리 의무 검토, 「정보통신망법」 개정 등이 단계적으로 구체화될 예정입니다. 특히 EU 사이버복원력법(CRA, ’27.12 시행 예정)·美 FDA·英 PSTI 등 주요국의 디지털 제품·소프트웨어 보안규제가 이미 수출 디지털 기업의 무역장벽으로 작용되고 있어, 공공 납품기업과 수출기업은 SBOM 관리체계 정비와 대상국 규제 매핑을 선제적으로 검토할 필요가 있습니다.

 


1. 배경 및 주요 내용

2. 핵심 쟁점 구조화

3. 산업별 영향 확장 매트릭스

4. 기업 유형별 맞춤형 시사점

5. 기업 실무자 자가점검 체크리스트

6. 자주 묻는 질문 (FAQ)


 

1. 배경 및 주요 내용

 

SW 개발은 자체 개발에서 공개SW(오픈소스)·제3자 개발 SW·AI 생성 코드의 활용으로 빠르게 이동하면서, 공급망은 단순·수직 구조에서 상호 의존성이 높은 복잡한 구조로 바뀌었습니다. 그 결과 외부 코드의 약한 고리를 노린 공급망 공격이 신종 위협으로 부상했습니다. 사이버보안 전문 시장 조사기관 사이버시큐리티 벤처스에 따르면 SW 공급망 공격으로 인한 글로벌 피해액은 2023년 460억 달러에서 2031년 1,380억 달러로 증가할 것으로 추정되며, 2020년 전 세계 1만 8천개 이상의 조직에 영향을 미친 솔라윈즈 공격 사례는 공격 피해 사실이 알려지기까지 10개월이 소요될 정도로 탐지하고 대응하는데 어려움이 있다는 것을 보여주었습니다.

 

이러한 배경하에서 로드맵은 외부 코드의 약한 고리에 대한 대응, 특히 AI 일상화와 관련해서, “운영 중심 → 개발·공급 全단계”, “기능·성능 중심 → 보안 내재화 중심”의 전환이라는 태도를 기초로 주요 SW 공급망 보안에 대한 방향성을 제시하였습니다. 주요 정책 변화는 다음과 같습니다.

 

 

✓ 로드맵상 대부분의 과제는 ’26~’28년 추진 일정으로 제시되어 있으며, SBOM 항목 표준, 보안적합성 검증 세부 기준, 시범인증 요건, 「정보통신망법」 개정안 등 구체적 기준·시행시기는 아직 확정되지 않았습니다. 본 뉴스레터의 시기 표기(’26~ 등)는 로드맵상 ‘추진 목표 시점’이며, 실제 규율 내용은 후속 고시·지침·법령 개정에서 확정될 예정입니다.

 

 

2. 핵심 쟁점 구조화

 

가. 로드맵의 법적 성격 — 의무인가, 정책 계획인가?

 

로드맵은 관계부처 합동 정책 추진 계획으로, 그 자체로 기업에 새로운 법적 의무를 직접 부과하지 않습니다. 다만 ‘법·제도 정비’ 과제에 「정보통신망법」 개정 추진(보안 실태점검·공표·취약점 개선권고), 공공조달 사이버보안 지침 개정, 보안적합성 검증 제도 개선 등이 포함되어 있어, 향후 일부 항목은 구속력 있는 규율로 전환될 소지가 있습니다. 따라서 현 단계에서는 “지금 당장의 의무”가 아니라 “예고된 규제 방향”으로 이해하고 대비하는 것이 적절합니다.

 

나. 공공조달 영역 — SBOM 제출·보안적합성 검증의 단계적 강화

 

공공분야는 로드맵에서 가장 구체적으로 규율 강화가 예고된 영역입니다. 구체적으로 로드맵에서는 ① 공공 정보화사업 추진 시 보안 요구사항에 SBOM 제출·취약점 대응 절차 도입(’27~), ② 공공 도입 SW에 ‘SW 보안취약점 관리 담당관’ 지정 등 지침 개정, ③ 보안적합성 검증에 공급망 보안 평가 기준·‘안전한 SW 개발 방법론’ 준수 확인 반영(’26~’27), ④ 침해사고·취약점 후속조치가 미비한 기업·제품에 대한 공공분야 도입 제재조치 강화(’27~)가 제시되었습니다.

 

안보위해1제품 측면에서는 개발·공급업체 대상 안보위해성 자가점검 체크리스트 마련(’27~), 외교·안보·국방 등 주요 기관 IT제품 납품 시 체크리스트 제출 우선 적용(’28~) 후 단계적 확대가 예고되었습니다. 공공 납품 비중이 높은 기업일수록 영향이 큽니다.

 

다. 민간분야 제도 정비 — 시범인증·사후관리·정보통신망법

 

민간분야는 자율·시범 단계에서 출발합니다. 로드맵에 따르면 자율 신청 기반의 SW 공급망 보안관리 검증 및 우수기업 확인서(가칭 ‘SSS Verified’) 시범운영(’27~)이 도입되고, 시범 운영 후 기존 정보보호 인증제도(ISMS·IoT 보안인증 등)에 공급망 보안 평가요소를 반영해 정규 제도화가 추진될 예정입니다. 또한 로드맵에는 보안업데이트 제공·보안지원 종료(EoS) 사전공지·취약점 제보·공개(CVD) 등 사후관리 책임 강화를 위한 제도 개선과, 취약점 미조치 시 시정권고 등 기업 책임성 강화 방안이 검토 대상으로 명시되었습니다.

 

한편 민간기업·시설에서 주로 사용되는 SW·보안제품의 고위험 취약점을 상시 관리하고(’26~), IoT 가전·태양광 인버터 등 일상 밀접 디지털 제품군에 대한 보안 실태점검·대외 공표·개선권고를 위해 「정보통신망법」 개정이 추진됩니다. 다만 개정안의 구체적 조문·대상·시기는 아직 공개되지 않았습니다.

 

라. 해외 규제 연동 및 상호인정(MRA) — 무역장벽 차원의 접근

 

로드맵은 주요국 규제를 ‘잠재적 해외 진출 장벽’으로 규정하고, 가이드라인·시범인증을 해외 규제 대응 도구로 설계합니다. 주요국 규제 동향은 다음과 같습니다.

 

 

국내에서는 IoT 보안인증 등에 대한 상호인정(MRA) 확대(’26~), GCLI 등 국제 단일표준 논의 참여, 시범인증과 해외 제도의 상호인정 추진이 제시되어, 중복 인증 부담 완화가 기대됩니다. 다만 상호인정의 실제 체결 여부·범위는 향후 협상에 달려 있어 현 시점에서 확정적으로 전망하기는 어렵습니다.

 

 

3. 산업별 영향 확장 매트릭스

 

로드맵의 범정부 협의체는 의료기기·자동차·공공정보시스템·금융·보안 분과를 두고 있으며, 이는 공급망 보안 규제가 우선·집중될 분야를 시사합니다. 각 산업군별로 해당하는 우선 점검사항을 검토할 필요가 있습니다.

 

 

 

4. 기업 유형별 맞춤형 시사점

 

 

계약 실무 포인트 — 도입·공급 계약 단계에서 SBOM 제공 의무, 취약점 통지·패치 책임, 보안지원 종료(EoS) 사전고지, 손해배상·면책 범위를 명문화해 두면 향후 규율 강화 시 분쟁·재협상 부담을 줄일 수 있습니다.

 

 

5. 기업 실무자 자가점검 체크리스트

 

가. 법무 / 컴플라이언스

 

자사가 ‘공공조달 SW 납품’ 또는 ‘보안적합성 검증 대상’에 해당하는지 사업 목록 기준으로 분류할 것

주요 수출 대상국(美·EU·英 등)별 규제(FDA·CRA·PSTI)와 자사 제품의 적용 여부를 매핑할 것

도입·공급 계약서에 SBOM 제공·취약점 통지·보안지원 종료(EoS) 고지 조항 반영 여부를 점검할 것

 

나. IT / 보안 (개발)

 

자사 SW의 오픈소스·서드파티·외주 구성요소를 식별하고 SBOM 생성 가능 여부를 진단할 것

 ‘안전한 SW 개발 방법론(NIST SSDF 등 참고)’ 대비 현재 개발 프로세스의 GAP을 분석할 것

고위험(Critical) 취약점·CVE 모니터링 및 패치 적용 절차를 정비할 것

 

다. 조달 / 공급망 관리

 

협력사·공급업체의 SW 보안수준 확인 절차(SBOM 요구 등)를 공급망 관리 정책에 반영할 것

정부 지원사업(테스트베드·보안컨설팅·클라우드 개발환경 보급)의 활용 가능성을 검토할 것

 

라. 수출 / 통상

 

상호인정(MRA)·국내 시범인증(가칭 ‘SSS Verified’) 추진 동향을 모니터링하고 인증 로드맵을 수립할 것

 

마. 경영진 / 이사회

 

SW 공급망 보안 거버넌스(담당 조직·예산·책임자) 구축을 검토하고 향후 규제 강화 일정에 대비할 것


 

6. 자주 묻는 질문 (FAQ)

 

Q1. 이 로드맵이 발표되면 지금 당장 기업이 지켜야 할 의무가 생기나요?

 

A. 아닙니다. 로드맵은 ’26~’28년 정부 정책 추진 계획으로, 그 자체가 의무를 직접 창설하지는 않습니다. 다만 공공조달 지침 개정, 보안적합성 검증 기준 강화, 「정보통신망법」 개정 등 일부 항목은 향후 구속력 있는 규율로 전환될 수 있으므로 예고된 방향으로 보고 대비하는 것이 바람직합니다.

 

Q2. 공공분야에 SW를 납품하는데 SBOM 제출이 언제부터 의무화되나요?

 

A. 로드맵은 공공 정보화사업 보안 요구사항에 SBOM 제출·취약점 대응 절차를 ’27년경부터 도입하는 것을 목표로 제시합니다. 다만 구체적 의무화 시점·대상·SBOM 항목 표준은 아직 확정되지 않았으므로, 후속 지침·고시를 통해 확인할 필요가 있습니다.

 

Q3. SBOM이 정확히 무엇이고 왜 갑자기 중요해졌나요?

 

A. SBOM(Software Bill of Materials)은 SW를 구성하는 오픈소스·라이브러리 등 구성요소와 의존관계를 기술한 명세서입니다. 미국·EU가 공급망 보안 규제에 SBOM을 핵심 수단으로 채택하면서, 취약점의 신속한 식별·조치와 수출 대응의 기본 요건으로 부상했습니다.

 

Q4. EU CRA·美 FDA 대응을 위해 지금 무엇부터 준비해야 하나요?

 

A. 먼저 수출 대상국과 제품 유형별로 적용 규제를 매핑하고, 해당 제품의 SBOM 생성·관리 체계를 갖추는 것이 출발점입니다. EU CRA의 취약점 관리 의무는 ‘26년9월부터 적용되며, 전체 적합성 요건에 대한 단계적 집행은 ‘26년 9월~’27년 12월에 걸쳐 이뤄질 예정입니다. FDA 의료기기 인허가 등은 이미 SBOM을 요구하므로 우선순위를 두어 대비하는 것이 좋습니다.

 

Q5. 중소 SW기업도 정부 지원을 받을 수 있나요?

 

A. 예. 로드맵은 전체 SW기업의 약 81%가 10인 미만이라는 점을 고려해, 테스트베드·보안컨설팅(’26~)·클라우드 기반 개발환경 보급(’27~)·AI 점검 인프라(’27~) 등 중소기업 대상 지원을 명시합니다. 다만 세부 신청 요건·시기는 사업 공고를 통해 확인해야 합니다.

 

 

# 공공조달 SBOM 제출·보안적합성 검증 강화 #EU CRA(’27.12)·美 FDA 등 해외 규제 대응 본격화

 

화우는 정보보호센터, TMT·AI센터, 통상·수출통제 분야를 중심으로 사이버보안·개인정보·디지털 규제 전반에 걸친 통합 자문을 제공합니다. SW 공급망 보안은 정보보호 규제, 공공조달, 해외 통상규제, 계약·책임 설계가 교차하는 영역으로, 화우는 침해사고 대응, 정보보호 인증, 공공조달·보안적합성 검증, 해외 규제(EU·美) 대응 및 공급계약 리스크 관리를 아우르는 자문을 수행해 왔습니다.

 

본 로드맵과 관련하여 화우는 ① 공급망 보안 규제 적용 여부 진단과 GAP 분석, ② SBOM·사후관리 관련 공급·도입 계약 설계, ③ 해외 규제(CRA·FDA·PSTI) 대응 및 상호인정·인증 전략 수립, ④ 공공조달·보안적합성 검증 대응을 지원합니다.

관련 분야
#정보보호센터
#TMT
#AI센터
#관세 ∙ 국제통상