【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스][2026 공급망 보안 솔루션 리포트] AI가 찾은 취약점에 공급망 뚫리면... 국가 안보 위기 직결

온카뱅크관리자

2026-04-15 09:27:35

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="XEPi3BmjsP">
 주간 다운로드 1억건 ‘액시오스’ 공급망 공격... 오픈AI도 영향 받아 미국, 유럽 등 국가 안보 차원에서 공급망 보안 접근, 규제 강화 AI 기술 발달, 오픈소스 활용 확대로 위협 증가... 진화된 공급망 보안 체계 구축해야 공급망 보안 솔루션 전문업체 집중 분석: 레드펜소프트, 시큐리티스코어카드
 [보안뉴스 한세희 기자] 최근 주간 다운로드 횟수가 1억건에 이르는 인기 자바스크립트 라이브러리 ‘액시오스’(Axios)가 북한 해커 그룹에게 공격당해 오염되는 사고가 터졌다. 
 액시오스는 브라우저와 node.js 환경에서 모두 쓸 수 있는 HTTP 클라이언트 라이브러리로, 서버와 HTTP 요청 및 응답 데이터를 간편하게 주고받을 수 있어 현재 대부분 웹 개발 환경에서 쓰이고 있다. 
 주요 보안 기업들 분석에 따르면, 북한 연계 해커 그룹 ‘UNC1069’는 액시오스 관리자의 npm 계정을 탈취해 악성 코드가 포함된 버전을 공식 레지스트리에 직접 배포했다. 오염된 버전을 설치하면 사용자 행동 없이도 실행돼 클라우드 접근 키, 데이터베이스 비밀번호 등 민감한 자격 증명을 훔친다. 
 <figure class="figure_frm origin_fig" contents-hash="84827782010c7d36332eda11d661fa71665fabf1e9a56a4fea00fd25495f7c83" dmcf-pid="FlLkKPyOIV" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092614124qtel.jpg" data-org-width="685" dmcf-mid="QZ0MZUkLsJ" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092614124qtel.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 [출처: gettyimagesbank]
 </figcaption>
 </figure>
 <div contents-hash="e35745dc1fd6daa6145c6406ec905efda64582aacd9de1d6b24337ccdcf87af4" dmcf-pid="3SoE9QWIO2" dmcf-ptype="general">
 이 액시오스 악성 버전은 3월 31일(현지시간) 자정 직후 올라가 3시간 후 삭제됐다. 액시오스 패키지가 설치된 환경 중 약 3%에서 악성 코드가 실제 동작한 것으로 보안 기업 위즈는 분석했다. 전체 클라우드 및 코딩 환경의 80%에 설치돼 있고, 1주에 1억건 다운로드가 이뤄질 정도로 널리 쓰이는 패키지라 영향이 적지 않으리란 우려다. 
 </div>
 실제로 오픈AI는 이 공격 때문에 사용하던 깃허브 액션 워크플로우가 침해돼 맥OS용 오픈AI 앱들의 인증을 보호하기 위한 업데이트를 실시해야 했다. 
 북한은 노출된 자격 증명 정보로 암호화폐를 탈취, 국제 사회의 제재를 피해 미사일 등 무기 개발에 사용하고 있다. 존 헐트퀴스트 구글 위협인텔리전스그룹 수석분석가는 “북한 해커들은 공급망 공격에 풍부한 경험을 갖고 있으며, 이를 암호화폐 탈취에 악용해 왔다”고 말했다.
 공급망 보안 위협은 안보 직격탄 사실상 전체 개발자 커뮤니티가 공유하는 오픈소스 패키지가 악성 코드 주입 공격에 노출된 사고다. 이는 단지 소프트웨어 개발 과정의 문제에 그치지 않는다. 수많은 암호화폐 투자자의 실제적 금융 피해는 물론, 대량 살상 무기 개발로 인한 지정학적 안보 위협으로 이어질 수 있다. 공급망 보안 실패는 곧 안보 리스크이기도 하다. 
 최근 미국의 이란 공습 직전, 도널드 트럼프 미국 대통령이 AI 기업 앤트로픽을 “공급망 위협 기업으로 지정하겠다”며 위협하는 일도 있었다. 
 <figure class="figure_frm origin_fig" contents-hash="94d01d73db51c249be854bc05b06364b0c473885ae88b150fe6a42ec4b892961" dmcf-pid="7YAs8dZvIq" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092615415lbza.jpg" data-org-width="1000" dmcf-mid="x0lYncztId" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092615415lbza.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 [출처: 연합]
 </figcaption>
 </figure>
 <div contents-hash="3ac94adef3b5dfd164e033b58fe1a2d5f4e5fa2cf5a9469910f081fa20547205" dmcf-pid="zGcO6J5Tsz" dmcf-ptype="general">
 앤트로픽의 AI 모델 클로드는 앞서 미군 특수부대의 니콜라스 마두로 베네수엘라 대통령 부부 체포 작전에 결정적 역할을 한 것으로 알려졌다. 마두로 대통령 부부의 동선을 파악하고 공격 관련 의사결정을 하는 과정에서 방대한 관련 데이터를 분석하고 적절한 공격 지점과 시점을 추려 주었다. 
 </div>
 하지만 이후 미국 전쟁부와 클로드 공급 조건을 추가 논의하는 과정에서 앤트로픽이 AI가 인명 살상 여부를 자율적으로 판단하게 하거나 내국인을 대규모로 감시하는 일엔 사용하지 못하게 하자고 요구한 것이 문제가 됐다. 제약 없이 AI를 사용하고 싶어한 정부 입장과 충돌한 것이다. 군이 납품 받아 사용하는 AI 기술이 군의 의사결정 지원 시스템에 외부적 영향을 미칠 가능성을 정부는 안보 위협으로 간주한 것이다. 
 공급망 보안 중요성 커지는 이유 소프트웨어와 AI 등 디지털 기술이 사회 전반의 핵심 인프라로 자리잡으면서, 소프트웨어 제조 과정의 안전성 확보가 중요한 과제가 됐다. 개발과 유통 과정에서 구성 요소 어느 하나라도 공격당하면 시스템 전체가 영향을 받을 수 있기 때문이다. 
 소프트웨어는 시장에 나오기까지 개발자의 기획과 개발, 빌드, 배포, 판매와 구입, 설치, 운영, 업데이트, 폐기 등 생애주기를 겪는다. 소스코드나 라이브러리, 오픈소스 소프트웨어 등과 이를 위한 개발 환경 등 소프트웨어 생애 주기에 필요한 인적, 물적 자원을 통틀어 소프트웨어 공급망이라 한다. 
 소프트웨어 공급망 보안은 이 과정에 악성코드나 취약점을 주입하는 등 악의적 행위를 예방하고 조치하는 과정이라 할 수 있다. 
 특히 대부분 소프트웨어 개발이 검증된 오픈소스 등 공개 소프트웨어에서 구성 요소를 가져와 레고 블록처럼 조립하는 방식이 대세가 된 상황이라 문제가 더 복잡해졌다. 관리 주체가 불분명한 보안 사각지대가 생기는 것이다. 보안 문제는 개발 기간 단축이나 비용 절감 등 오픈소스의 장점을 완전히 누리지 못하게 만든다. 현재 전체 코드 베이스의 90% 이상에 오픈소스 코드가 포함된 것으로 추정된다. 
 <figure class="figure_frm origin_fig" contents-hash="28975c14d224b184fc6b19db7e50c88bc9d1e25f66b362f9b4361182a4e8a18d" dmcf-pid="2a2xXpcnr3" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092616737rvkd.jpg" data-org-width="1000" dmcf-mid="y3ocb6Tsse" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092616737rvkd.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 ▲국내외 주요 공급망 보안 솔루션 [자료: 보안뉴스·시큐리티월드]
 </figcaption>
 </figure>
 <div contents-hash="92177706622c839e099088b65c72c7363cf474acb31524f0b8df96141c5b3cf2" dmcf-pid="VNVMZUkLEF" dmcf-ptype="general">
 보안 기업 소나타입에 따르면, 2025년 상반기까지 발견된 악성 오픈소스 패키지는 84만5000개를 넘었다. 2분기 중 발견된 오픈소스 멀웨어는 전년 동기 대비 188% 늘었다. 공격의 66%는 공급자 코드를 대상으로 했고, 62%는 소프트웨어 공급자에 대한 신뢰를 악용한 것으로 나타났다. 
 </div>
 미국 보안 기업 퍼플섹에 따르면, IT 및 보안 전문가의 84%는 소프트웨어 공급망 공격이 향후 3년 내 주요 사이버 위협 중 하나로 떠오를 것으로 보고 있다. 
 미국과 유럽 등 주요 국가 정부는 소프트웨어 공급망 보안을 심각한 위협으로 받아들이고 있다. 조 바이든 전 미국 대통령이 2021년 5월 국가 사이버보안 강화를 위해 발표한 ‘행정명령(EO) 14028’에 공급망보안 강화가 주요 내용으로 포함됐다.
 앞서 2020년 12월 미국 IT 관리 기업 솔라윈즈에 러시아와 연계된 해커가 침입해 이 회사 IT 모니터링 솔루션 ‘오리온’에 악성코드를 심었다는 사실이 드러난 것에 대한 대응이었다. 오리온은 포춘 500대 기업 중 400곳 이상에서 쓰일 정도로 대형 기업과 주요 정부 기관에 많이 보급된 제품이었다. 미국 재무부와 국무부 등 정부 기관과 마이크로소프트, 인텔 같은 대기업 등 1만8000개 이상 고객사가 감염돼 데이터를 탈취당하는 등 피해를 입었다. 
 소프트웨어 공급망이 보안 및 안보 취약점이 될 수 있음이 확인된 순간이다. 이후 미국은 2025년 2월부터 육군에 공급되는 모든 소프트웨어에 대해 ‘소프트웨어 자재명세서’(SBOM: Software Bill of Materials)을 수집하게 했다. 또 국가안보국(NSA) 산하 국가정보보증협회(NIAP)도 애플리케이션 소프트웨어 CC 인증을 받기 위해 SBOM을 의무 제출하도록 했다. 
 2기 트럼프 행정부는 기관 특성에 맞춰 보안 정책을 수립할 수 있도록 자율성을 강화하는 기조로 전환했지만, 소프트웨어와 하드웨어의 완전한 목록 관리와 보증 정책, 절차 개발 등은 필수적으로 수행하도록 했다. 
 유럽연합(EU)에서도 2027년 사이버회복력법(CRA: Cyber Resilence Act)이 발효될 예정이다. EU 전역에 판매되는 모든 디지털 제품과 소프트웨어의 제품 개발자, 판매사 등은 SBOM 생성 관리와 취약점에 대한 신속한 대응 등 보안 요구 사항을 충족해야 한다. 
 우리나라 역시 2023년 ‘디지털플랫폼정부 실현계획’과 2024년 ‘국가 사이버안보 전략’에서 범국가 ICT 공급망 보안 정책 도입 계획을 밝혔다. 2025년 10월 발표한 ‘범부처 정보보호 종합대책’엔 2027년까지 공공 분야 IT 시스템과 제품에 대해 소프트웨어 구성요소(SBOM) 제출을 제도화한다는 내용이 포함됐다. 
 국가정보원과 과학기술정보통신부 주도로 구성된 SW 공급망 보안 TF도 조만간 공공 공급망 보안 강화와 산업 역량 강화를 위한 소프트웨어 공급망 보안 제도 초안을 공개할 예정이다. 
 공급망 보안 철저하면 위협 대응도 빨라져 소프트웨어 개발 과정에서 오픈소스 의존도가 높아짐에 따라 기업들은 사용하는 소프트웨어 개발 과정의 안정성을 철저히 지킬 필요가 계속 커지고 있다. 더구나 미국, 유럽 등 주요 국가에서 관련 규제를 강화하면서 공급망 보안은 국내외 주요 대기업과 공공 부문을 공략하려는 소프트웨어 및 보안 기업이 꼭 챙길 수밖에 없는 과제로 떠오르고 있다. 
 소프트웨어 공급망 보안에서 가장 많이 논의되는 주제는 SBOM이다. ‘소프트웨어 자재명세서(Software Bill of Materials)란 이름에 걸맞게 라이브러리, 프레임워크, 모듈 등 소프트웨어를 구성하는 모든 요소들에 대한 상세한 정보와 각 요소 간 공급망 관계 등을 담은 문서다. 복잡하게 얽힌 여러 구성 요소들을 한눈에 파악하고 관리할 수 있도록 해 준다. 
 또 소프트웨어 개발 단계에서 소스코드 결함이나 런타임 오류를 찾아내 공급망 무결성을 확보하는 보안 취약점 분석 및 테스트, 네트워크 내 엔드포인트에서 소프트웨어 실행과 설치를 감시하고 공급망을 겨냥한 악성 코드 유입을 탐지하는 엔드포인트 자산 관리 및 대응 역시 공급망 보안의 주요한 자리를 차지한다. 
 제로트러스트와 데이터 보안 관점에서 신뢰할 수 없는 외부 소프트웨어나 데이터, 파일 반입을 통제하고 주요 내부 자산이 유출되지 않도록 보호하는 것도 중요하다. 
 SBOM 관리를 위해 오픈소스를 중심으로 소프트웨어 구성 요소(SCA)를 파악하고, SBOM을 자동 생성하고 검증하는 솔루션들이 입지를 넓히고 있다. 개발 시점부터 소프트웨어의 약한 고리를 관리해 시스템 안전성을 지키고, 문제가 생겼을 때 빠르게 대응할 수 있다. 
 이동화 한국인터넷진흥원(KISA) AX공급망보안정책팀장은 “기존 알려지지 않은 취약점이 터졌을 때 SBOM을 활용하면 즉각 위협 지점을 특정하고 격리할 수 있어 비즈니스 연속성을 비약적으로 높일 수 있다”고 말했다. 수동으로 소스코드를 뒤져 취약점을 찾는 것에 비해 대응 속도를 높일 수 있기 때문이다. 
 실제 2025년 말 터진 ‘리액트’(React) 취약점 사태 당시, SBOM 관리 체계를 갖춘 기업은 자사 서비스에 문제의 라이브러리가 포함돼 있는지 이틀 만에 파악할 수 있었다는 설명이다. 일반적으로 기업이 소스코드를 전수 조사하는데 평균 7일 이상 걸린다. 
 이에 따라 공급망 보안 시장은 이제 도입기를 벗어나 성장기로 넘어가는 추세로 관련 업계는 보고 있다. 글로벌 규제 확대와 소프트웨어 중심 산업 구조 변화, 최근 벌어진 국내외 대형 보안 사고로 인한 경각심 확산 등이 시장 동력을 끌어올리고 있다. 
 시장조사 회사 글로벌마켓인사이트는 소프트웨어 공급망 보안 시장 규모를 2023년 21억달러로 추산했다. 또 사이버 공격 고도화로 수요가 지속적으로 늘어 2032년까지 10% 이상의 연평균 성장률을 기록할 것으로 내다봤다. 
 <figure class="figure_frm origin_fig" contents-hash="1bf17bff9336c6a4ff72b1a969d8a95f767950ea3ae9ed50177b55f9284d04ec" dmcf-pid="Fx0bCYd8wO" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092618045fovz.jpg" data-org-width="1000" dmcf-mid="Wb4MZUkLsR" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092618045fovz.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 ▲주요 공급망 보안 솔루션 구축 사례 [출처: 보안뉴스·시큐리티월드]
 </figcaption>
 </figure>
 <div contents-hash="c4a25f89bf40447909cc0ccc4bcb4fe000f4b358ce23c914127660c141accb07" dmcf-pid="3MpKhGJ6ss" dmcf-ptype="general">
 공급망 보안의 진화
 최근 공급망 보안은 외부 유입 소프트웨어의 취약점을 찾는 데서 한발 더 나아가 소프트웨어 개발과 공급, 실제 사용의 전체 단계에서 위협을 식별하고 신뢰를 확보하는 체계로 진화하고 있다. 문서를 넘어 운영의 안전을 확보하기 위해서다. SBOM 관리, 취약점 관리 등 분산된 관리 대상을 하나의 플랫폼으로 통합해 분석 효율성을 높이려는 추세다.
 </div>
 이를 통해 고객이 공급망 전반에 걸쳐 가시성을 확보하고, 실제적 위협을 선별해 신속히 대응하는 한편, 외부 규제나 감사에 대응할 수 있게 한다는 목표다. 
 래브라도랩스는 “공급망 보안은 소프트웨어 생명주기 전 과정의 투명성과 신뢰를 확보하는 것”이라며 “이제 단순히 SBOM을 만드는 단계를 넘어 SPDX(System Package Data Exchange), 사이클론DX 등 SBOM 관련 국제 표준을 준수하며 이를 기반으로 기업 간 데이터를 안전하게 교환하는 기술이 중요해졌다”고 밝혔다. SBOM의 표준화와 상호운용성의 비중이 커졌다는 설명이다. 
 레드펜소프트는 “개발–배포–운영 전 과정에 걸쳐 SBOM을 생성·관리하는 동시에, 운영 환경에서 실제 실행 중인 소프트웨어를 기준으로 취약점을 식별하는 런타임 SBOM 방식을 핵심으로 한다”고 밝혔다. 그동안 SBOM을 통해 ‘무엇이 포함돼 있는가’를 확인하는 단계까지 많은 진전이 있었지만, 실제 공격자는 존재하는 코드가 아니라 실행되는 경로와 악용 가능성(Exploitability)을 기준으로 공격하기 때문이라는 설명이다. 
 SBOM이 단순한 컴플라이언스 문서가 아니라 지속적 검증을 위한 데이터 역할로 진화하는 ‘SBOM 운영화’ 트렌드에 선제 대응한다는 계획이다. 
 스패로우는 취약점 분석을 통한 보안 가시성 확보와 신뢰 기반 SBOM 유통 체계 구축을 결합해야 한다고 본다. 소프트웨어 개발 생명주기 전체에 공급망 보안이 일관되게 적용되는 개발보안운영(DevSecOps) 실현이 공급망 보안의 출발점이다. 이를 위해 DevOps 파이프라인에 연동하기 쉬운 형태로 자동화된 보안 테스팅을 제공하고 있다. 
 SBOM이 공급망 보안의 기본 인프라로 역할이 확장된 데 맞춰 무결성 검증과 최신성 유지, 안전한 유통 등에 초점을 맞춘다는 계획이다.
 MDS인텔리전스는 “OTA나 클라우드 기반 서비스 확장으로 공격 표면이 공급망 전반으로 확장되고 있다”며 “소프트웨어 전 생애주기에서 ‘신뢰의 흐름’을 관리하기 위해 공급망 전반의 암호키 생성 및 배포, 회수, 통제를 위한 키 관리 시스템과 결함 없는 소프트웨어 배포를 위한 OTA 기술, 인증서 등을 결합한 신뢰 흐름 통제 플랫폼을 구축했다”고 밝혔다. 
 태니엄코리아는 “시장에선 외부 소프트웨어를 사용하는 기업의 운영 환경, 소프트웨어를 개발하는 기업의 CI/CD 환경, 개발자 개발 PC와 개발 환경 등 공급망 보안의 범위를 각각 다르게 정의하고 있다”며 “다양한 환경 전반에 공통 적용될 ‘실시간 엔드포인트 가시성’(Real-time Endpoint Visibility)과 단일 플랫폼 기반 통합 관리를 통해 공급망 보안을 제품과 서비스 전반에 반영해야 한다”고 밝혔다. 
 파수AI는 “기업 환경 공급망 고도화와 금전적 이익을 노리는 해커 활동 증가로 약한 고리를 통한 공급망 보안 위협이 급증하고 있다”며 공급망 내외부 협업 과정에서 중요 정보 유출을 막고 공급망 보안 요건 컴플라이언스를 제대로 지키도록 컨설팅 등 도움을 받아 보안 리스크를 줄이고 비즈니스 지속성을 확보해야 한다”고 밝혔다. 
 공급망 모든 참여자 위협 가능성을 파악한다 최근 공급망 위협은 광범위하게 확산되고 있다. 조직이 사용하는 소프트웨어에 포함돼 있을 수 있는 취약점을 발견하고 조치하는 작업뿐 아니라, 외부 공급업체나 서비스 제공사와 협력하며 업무하는 과정에서 발생하는 사이버 보안이나 법적, 운영적 위협을 식별하고 평가해 통제하는 ‘제3자 위협관리’(TPRM)의 중요성도 커지고 있다. 
 올해 초 중국의 대형 전자제품 위탁생산 기업 럭스쉐어를 공격한 랜섬웨어 위협 그룹이 럭스쉐어 고객사인 애플, 엔비디아, 테슬라, LG 등의 설계도와 기판 디자인, 직원 개인정보 등 민감 데이터를 유출하겠다고 협박한 사건이 대표적이다. 빅테크 기업이 내부적으로 강력한 보안 시스템을 갖추더라도, 협력사 럭스쉐어가 뚫림으로써 핵심 지적재산권이 위협받는 결과가 초래됐다. 
 제3자 위협관리를 위해선 공급망에 포함된 제3자 목록을 작성하고 데이터 접근 권한에 따라 위험도를 평가하고, 이들의 보안 수준을 검증하고 실시간으로 재평가하는 작업이 이어져야 한다. 전체 공급망에서 가장 보안이 약한 협력사가 바로 그 기업의 보안 수준이기 때문이다. 
 이에 따라 TPRM의 진화도 진행 중이다. 시큐리티스코어카드는 “AI가 기계적 속도로 취약점을 공략하는 환경에서 설문지와 감사에 의존하는 기존 ‘체크박스’ 방식은 ‘허위적 안도감’만 제공할 뿐”이라며 “지속적 모니터링, 실제 공격자 신호와 결합된 방어 우선순위, 방대한 데이터를 연결해 필요한 조치를 제안하는 에이전틱 AI 오케스트레이션 등을 중심으로 한 차세대 TPRM으로 거버넌스와 비즈니스 회복탄력성을 연결할 것”이라고 밝혔다. 
 공급망 보안, 제도와 정책 영역이다 공급망 보안 확산을 위한 정부 투자도 이뤄진다. KISA는 40억원의 예산을 투입, 지난해에 이어 올해도 ‘소프트웨어 공급망 보안 모델 구축’ 사업을 전개한다. SBOM 생성과 검증 프로세스 및 거버넌스 수립에 집중하는 ‘공급망 보안 관리체계 구축’ 6개 과제와 이미 구축된 환경에서 실시간 위협을 추적하고 조치하는 ‘공급망 위협 모니터링 및 대응체계’ 2개 과제로 나눠 기업별 맞춤형 기술 지원을 제공한다.
 또 영세 및 중소 소프트웨어 기업들을 위해 판교 사이버회복력센터에서 소스코드 보안성 진단과 SBOM 생성 기술 지원을 상시 제공한다. 인력난으로 공급망 보안 체계 구축에 어려움을 겪는 기업들이 센터를 찾으면 전문가가 밀착 컨설팅해 준다. 
 이 같은 지원은 중소기업 공급망 보안 강화를 위한 ‘마중물’ 역할을 하리란 기대다. 하지만 마중물을 넘어 실제 공급망 보안 체계가 확산하려면 갈 길이 멀다는 우려도 나온다. 증소기업이 감당하기엔 공급망 보안을 위한 비용과 행정적 부담이 여전하다는 지적이다. 실제론 일부 대기업을 제외하곤 공급망 보안 위협에 대비돼 있거나 관련 보안 체계 구축을 충실히 준비할 수 있는 곳이 드물다는 냉정한 진단도 나온다. 
 시장과 정책을 아우를 판을 짜야 할 정부의 역할이 중요한 상황이다. 하지만 국가정보원이나 과학기술정보통신부, 금융보안원 등 유관 기관마다 기준이 다르거나 명확한 로드맵 제시가 늦어지고 있어 업계는 답답함을 토로하고 있다. 정부가 특정 분석 도구 사용을 권고하거나 강제하는 듯한 신호를 주어 자유로운 시장 경쟁과 선순환을 저해한다는 비판도 제기된다. 
 기업이 마음 놓고 뛸 수 있는 명확한 시장 규칙과 로드맵, 표준 관련 노력 등이 필요하다고 업계는 입을 모은다. 공급망 보안은 기술만으로 해결할 수 없는 정책과 제도의 영역이기 때문이다. 글로벌 표준에 기반해 가이드라인과 정책을 수립하고 SBOM 제출과 검증 기준을 명확하게 해야 한다는 의견이다. 공공 조달 시장에서 SBOM 제출을 의무화하는 등 선제적으로 보안 문화를 정착시키고, 해외 규제에 맞춰 활동할 수 있도록 정보 공유 등 대응 인프라를 지원해야 한다는 목소리도 높다. 
 현장 전문 인력이 부족한 상황에 맞춰 인력 양성과 교육 지원에 신경을 써야 한다는 주문도 나온다. 
 기업 내 SBOM 등 공급망 관리 역량이 미비한 것도 현실이다. 조직 전반의 공급망 보안 성숙도를 진단해 개선 프로세스를 정립하는 문화의 정착은 단기간에 이뤄지기 어렵다. 기술 도입을 넘어 조직적·문화적 기반 내재화가 공급망 보안 시장 안착 속도를 결정지을 전망이다. 
 <figure class="figure_frm origin_fig" contents-hash="76a075b16d5fa83f27dfb40e88a2c4f358623930368b91bb0e8fb43045a8121c" dmcf-pid="yLb6YFNdOM" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092619301jzmj.jpg" data-org-width="1000" dmcf-mid="YUtzsTMVwM" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092619301jzmj.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 ▲공급망 보안 솔루션 관련 사용자 설문조사 [출처: 보안뉴스·시큐리티월드]
 </figcaption>
 </figure>
 <div contents-hash="ed01d1f51fe77f51709223c124043b2d45c9159101ae4fc1d3627a0a9a8a6cb3" dmcf-pid="Wc8dtzwamx" dmcf-ptype="general">
 공급망 보안에 대한 보안인들의 인식은? 
 보안뉴스와 시큐리티월드는 공급망 보안 기술과 솔루션에 대한 인식을 파악하기 위해 최근 1130여명의 보안 분야 종사자를 대상으로 설문을 실시했다. 민간과 공공 부문 종사자 비율은 8:2 정도였다. 
 </div>
 응답자의 58.6%는 공급망 보안에 대해 “들어본 정도”라고 답했다. “잘 안다”는 응답은 32.2%, “모른다”는 응답은 9.2%였다. 
 “자신이 속한 조직에서 공급망 보안 솔루션 도입 의사가 있는가”라는 문항에 43.7%가 “도입 여부를 검토 중”이라고 답했다. “도입 계획이 없다”는 응답이 35.6%, “이미 도입해 사용 중”이란 응답이 11.5%로 뒤를 이었다. “도입을 위해 준비 중”이란 응답은 9.2%였다. 
 공급망 보안 솔루션 도입을 추진할 때 어려운 점으로는 “공급망 보안 솔루션에 대한 지식, 이해 부족”을 꼽은 사람이 37.9%로 가장 많았다. “예산 부족”이 27.7%로 뒤를 이었고, “불투명한 정책”과 “조직 내부 설득”이 나란히 17.2%로 나타났다. 
 공급망 보안에 대한 인식이 확산되는 가운데, 정부의 명확한 지침이나 가이드라인이 조직의 실제적 움직임 확산의 계기가 될 것으로 풀이된다. 
 조직에서 실제 쓰이는 공급망 보안 솔루션 중에선 “엔드포인트, 자산 관리 및 위협 대응” 관련 솔루션이 가장 널리 쓰이는 것으로 나타났다. 응답자의 34.6%가 “현재 쓰고 있는 공급망 보안 솔루션”으로 이들 제품군을 꼽았다. 
 “제로 트러스트 및 데이터 보안 기반 공급망 보안” 솔루션을 쓴다는 응답이 21.8%, “소프트웨어 구성 분석(SCA)” 솔루션을 쓴다는 응답이 19.5%였다. “보안 취약점 분석 및 테스팅 솔루션(SAST/DAST)”은 14.9%, “제3자 리스크 관리(TPRM)”는 9.2%로 나타났다. 
 AI로 공급망 공격 위협 심화 소프트웨어 공급망 보안에 대한 대응에 분주한 가운데, AI를 둘러싼 공급망 보안이 새 과제로 떠오르고 있다. AI 모델이 학습하는 데이터를 오염시키거나 모델 자체의 훈련 과정을 해킹해 AI 출력값에 영향을 미치거나 악의적 행동을 유도할 수 있기 때문이다. 
 AI 시스템이 개발, 학습, 배포, 운영되는 과정에서 쓰인 모든 데이터와 모델, 알고리즘, 프레임워크, 라이브러리, 하드웨어, 인프라, 인력 등 모든 생태계가 AI 공급망을 구성한다. 소프트웨어 공급망과 비슷하지만 특히 데이터셋을 이용해 훈련시켜 모델을 만든다는 점이 차이다. 소프트웨어 공급망 위협과 같이 AI 생태계를 구성하는 어떤 연결 고리에서도 취약점이 있을 수 있다. 데이터 포이즈닝, 모델 훈련 과정 해킹, 소스코드 저장소 해킹, AI 모델 허브 사이트에 대한 공격 등이 가능하다. 
 이런 위협에 대응하기 위해 SBOM과 같은 AI BOM이 필요하다는 의견이 힘을 얻고 있다. 이만희 한남대 컴퓨터공학과 교수는 “AI 공급망 보안의 목표는 데이터부터 최종 모델까지 AI 애플리케이션의 모든 의존성을 추적하고 모든 산출물의 무결성을 보장하는 것”이라며 “AI가 급속히 도입되는 상황에 맞춰 AI 공급망 보안에 대한 준비를 병행할 필요가 있다”고 말했다. 
 AI 공급망 보안 대응을 준비하는 기업들도 있다. 래브라도랩스는 “AI 모델 자체가 소프트웨어 공급망의 핵심 자산이 되면서 AI 모델 내 보안 위협과 라이선스 조항을 분석하는 기술이 급부상하고 있다”고 밝혔다. 
 스패로우 역시 “많은 기업이 오픈소스 기반 AI 모델을 사용하고 있지만, 라이선스 조건을 검토하지 않은 채 모델을 재사용하거나 상용 서비스에 적용할 경우 법적 분쟁이 발생할 수 있다”며 “AI 모델의 명칭과 버전, 출처 등을 식별해 AI 자산 투명성을 확보하고 AI BOM 형태로 관리하는 것이 중요해질 것”이라고 밝혔다. 
 AI를 활용한 바이브 코딩 확산도 공급망 위협을 확산하고 있다. AI 코딩 에이전트가 사람 개발자에 비해 취약점이 알려진 오픈소스 패키지를 선택하는 경우가 많다는 연구 결과도 있다. 안전보다는 작업 최적화에 중점을 두는 경향이 있기 때문이다. 
 AI가 실재하지 않는 오픈소스 패키지를 만들어내는 할루시네이션 오류를 일으킨다는 점을 악용, 해커가 AI가 많이 생성하는 가짜 패키지 이름을 선점해 바이브 코딩 사용자에 침투하는 ‘슬롭스쿼팅’(slopsquatting)도 AI 시대 소프트웨어 공급망의 주요 공격 경로 중 하나다. 
 AI에 의해 대량 생산되고 유통되는 소프트웨어 취약점은 AI 시대 보안에 주요한 위협이 되고 있다. 보안 기업 역시 AI를 활용해 쏟아지는 취약점을 빠르게 탐지하고 대응 효율을 높이는데 총력을 기울이고 있다. AI는 공급망 보안의 새로운 위협과 새로운 방어 도구를 동시에 쥐어 주고 있다. 
 [공급망 보안 솔루션 집중 분석-1 레드펜소프트] 방대한 보안 이벤트 중 핵심만 선별해 담당자의 보안 피로 해소 개발부터 런타임 아우르는 포트폴리오 완성 서버 구성 취약점(CCE)까지 방어 범위 확장
 레드펜소프트는 소프트웨어 공급망 보안 강화를 위한 런타임 분석 솔루션 ‘XSCAN Server Runtime’을 통해 실행 환경 중심의 위협 가시성 확보와 선제 대응 체계 구축에 나서고 있다. 기존 정적 분석이나 개발단계 중심의 보안 점검을 넘어 실제 운영 환경에서 동작하는 애플리케이션의 행위를 기반으로 위험 요소를 식별하는 것이 핵심이다.
 최근 소프트웨어 공급망 공격이 고도화되면서 배포 이후 운영 단계에서 발생하는 취약점을 탐지하는 중요성이 커지고 있다. 
 <figure class="figure_frm origin_fig" contents-hash="480a61470d398fa65e4f8f8ff0a70ac215924f1b84b65ee28b2231e95ee19084" dmcf-pid="Bk6JFqrNIp" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092620614yxxo.jpg" data-org-width="1000" dmcf-mid="GWQn0bsADx" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092620614yxxo.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 [출처: 레드펜소프트]
 </figcaption>
 </figure>
 <div contents-hash="f8b256fb03472d2742e9e9380afc2f8b2d73b8eca9ddae5ca84a6da5dffb35f3" dmcf-pid="bEPi3BmjO0" dmcf-ptype="general">
 XSCAN Server Runtime은 소프트웨어 자재명세서(SBOM·(Software Bill of Materials) 기반 구성요소 정보를 활용하는 동시에, 실제 런타임 환경에서의 호출 흐름과 행위를 함께 분석한다. 이를 통해 단순 설치 목록 기반 관리에서 벗어나, 실제 사용 중인 컴포넌트와 실제 악용 가능성이 높은 취약점의 연관성을 정밀하게 식별할 수 있다.
 </div>
 특히, 운영 환경에서 발생하는 방대한 보안 이벤트를 효과적으로 선별·분석함으로써, 불필요한 경보와 반복 대응으로 인한 ‘보안 피로’(Security Fatigue)를 줄이는 데 초점을 맞추고 있다. 중요도 기반의 위협 식별과 실제 실행 여부 중심의 분석을 통해, 보안 담당자가 대응해야 할 핵심 이슈에 집중할 수 있도록 지원한다.
 최근에는 애플리케이션 영역을 넘어 서버 구성상의 취약점(CCE)까지 탐지 범위를 확장했다. 잘못된 시스템 설정이나 보안 정책 미비로 인해 발생할 수 있는 잠재적 리스크까지 사전에 식별해 내며, 한층 더 입체적인 서버 보안 관리 체계를 구현해 냈다.
 레드펜소프트는 소프트웨어 개발 및 외부 소프트웨어 반입 단계의 보안을 지원하는 ‘XSCAN SaaS’와 ‘XSCAN On-Premise’에 이어 ‘XSCAN Server Runtime’을 선보이며 소프트웨어 공급망 보안의 전 주기를 아우르는 포트폴리오를 완성했다.
 [공급망 보안 솔루션 집중 분석-2 시큐리티스코어카드] 데이터 초격차로 공급망 회복탄력성 구현, 차세대 TPRM ‘TITAN AI’ 에이전틱 AI와 실시간 인텔리전스로 공급망 ‘신뢰 역설’ 해소 실시간 위협 정보 기반 선제적 방어 체계 구현
 기업 보안 리더의 90%는 공급망 협력사게 사고가 생겨도 운영 연속성에 문제가 없다며 자신하지만 실제론 전체 벤더 생태계 절반 이상을 제대로 관리하는 조직은 22%에 불과하다. 시큐리티스코어카드의 차세대 제3자 위협관리(TPRM) 솔루션은 수동적 체크박스 방식 벤더 관리 체계를 폐기하고 실시간 데이터 기반의 지속적 인텔리전스 체계를 구축, 이같은 ‘신뢰 역설’을 해소한다. 
 최근 제3자 취약점을 악용한 침해 사고가 전년 대비 2배 증가했고, AI를 활용한 기계 수준의 빠른 공격이 일상화됐다. AI로 공급망 허점에 대한 공격 가능성이 폭증한 가운데, 시큐리티스코어카드 TITAN AI는 에이전틱 AI(Agentic AI) 기술로 보안 설문 등 수동 작업의 95%를 자동화하며 , 기존 대비 보안 평가 주기를 26배 가속화한다. 
 자동 벤더 감지(AVD)와 JARM/JA4T 지표 분석을 통해 알려지지 않은 ‘쉐도우 벤더’와 악성 C2 인프라까지 추적하여 공급망 사각지대를 제거한다.
 <figure class="figure_frm origin_fig" contents-hash="0565de41ce87cf835986481422d96a295a193385aa0f0caad5dcab158fe8e714" dmcf-pid="6c8dtzwasH" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092621877bfca.jpg" data-org-width="1000" dmcf-mid="HKPi3BmjEQ" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/15/552815-KkymUii/20260415092621877bfca.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 [출처: 시큐리티스코어카드]
 </figcaption>
 </figure>
 <div contents-hash="da98c48892eb6ed0acc73970204b9deb101a8f66c3f42c8610178a53c7a08d96" dmcf-pid="Pk6JFqrNIG" dmcf-ptype="general">
 TITAM AI는 단순한 취약점 나열이 아닌, 실제 공격자의 신호와 결합된 ‘위협 중심 방어’(Threat-Informed Defense)를 구현한다. TITAN AI는 세계 1200만 개 이상의 기업 데이터와 매주 270억개의 데이터 포인트를 수집해 99.9%의 정확도를 가진 인텔리전스를 제공한다. 제로데이 위협 발생 시 8시간 이내에 영향도 리포트를 제공하는 신속성을 보장하며, 공급망 침해 사고를 최대 75%까지 감소시켜 비즈니스 경쟁 우위를 제공한다.
 </div>
 시큐리티스코어카드는 지속적 모니터링과 위협 중심 방어, 에이전틱 AI 오케스트레이션을 통해 거버넌스와 비즈니스 회복탄력성을 연결하는 차세대 TPRM을 제공한다. 공급망 사각지대를 찾는 가시성과 보안 업무의 지능형 자동화로 위협 확산을 막는 대응이 가능하다. 데이터로 통찰력을 키우고 지능형 오케스트레이션으로 리스크를 기회로 전환, 보안 면적을 공급망 전체로 확장할 수 있다. 
 </section> 
 </div> 
 Copyright © 보안뉴스. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기