"S-BOM은 굉장히 위험합니다. CEO들이 오해하기 딱 좋다. 비유가 적절할지 모르겠지만 저희는 내부적으로 이런 이야기를 합니다. 아빠가 차를 사줬는데 아이가 운전면허증이 없다구요."
안도성 SK쉴더스 정보보호그룹장(CISO와 CPO도 겸임)은 13일 서울 용산 전자랜드에서 열린 ' 2025년 SW 공급망 보안 사업 설명회'에서 S-BOM의 중요성과 어려움을 이 같이 밝혔다. S-봄(S-BOM)은 제조업의 자재명세서(Bill of Materials, BOM) 개념을 SW에 적용한 것이다. SW의 구성요소를 식별하고 관리하는데 활용한다. 미국이 먼저 시작했고, 우리가 따라가는 중이다. SW개발사 등이 S-봄 체계를 갖추려면 CEO의 추진 의지가 무엇보다 중요하며 사내 인프라가 잘 갖춰져야 한다는 게 안 그룹장의 진단이다.
그가 속한 SK쉴더스는 매출 2조원에 직원이 7천명이다. 지역본부 10곳과 해외법인 3곳, 자회사 2곳을 두고 있다. 사용하는 애플리케이션은 123개고 개인정보가 900만건에 달한다. CEO 직속 정보보호그룹이 있고 연간 정보보호 예산은 60억원이다. 연간 80건의 보안성 검토를 하고 사용하는 보안솔루션은 60종에 달한다.
안 그룹장은 "우리 회사가 여러 사업을 영위하고 있는데, 고객에게 제공하거나 사내 업무를 처리하기 위해 쓰고 있는 애플리케이션이 123가지가 있다. 좀 많은 편이다. 이 소프트웨어를 안정적으로 운영해야 한다, 이게 소프트웨어 공급망 보안을 고민하게 된 시작점"이라고 들려줬다.
안도성 SK쉴더스 정보보호그룹장이 발표를 하고 있다.
SW공급망 설명회가 14일 서울 용산 전자랜드홀에서 열렸다.
이어 "난 모르겠고, 당신이 책임지세요!. 이 부분을 우리가 해결, 비즈니스를 영위해야 하는 부분이 있다"고 덧붙였다. 그 예로 개인정보보호법을 들며 "수탁사에서 발생한 사고도 위탁자가 잘못한 것으로 돼 있다. 법 조항이 이렇게 돼있다"고 말했다.
보안을 업으로 하고 있는 회사에서 보안 사고가 생기면 어떻게 할 거야?라는 경영진의 짧고 강한 주문이 있었고, 이에 2023년도부터 다양한 활동을 해오고 있으며, 이의 연장선상에서 소프트웨어 공급망 보완을 고민했다고 소개했다.
오픈소스도 짚었다. "오픈 소스로 인해 생기는 비용이 굉장히 크다. 이게 전혀 공짜가 아니다. 오픈 소스를 짠 사람은 내가 이걸 짰으니 잘 쓰세요 하면서 여러 가지 조건을 건다"면서 "당신 오픈소스에 있는 취약점은 나도 모른다. 당신이 썼으니 당신이 책임져라, 이 것이 공급망 문제를 크게 부각한 것의 시작이라고 생각한다"고 설명했다.
SK쉴더스 역할상 공급하는 제품과 내부서 사용하는 소프트웨어 모두 보안에 탄탄해야 한다는 어려움이 있다면서 "우리가 보안 솔루션을 60가지 정도 사용하고 있다. 굉장히 많은 편이다. 하지만 이렇게 갖고 있어도 불안하다. 소프트웨어를 잘 관리해야 겠다는 생각을 한 이유"라고 말했다.
관련기사
- 민주당, 김홍일 방통위원장 탄핵 추진..."6월내 통과 목표"2024.06.27
- 김홍일 위원장 "2인 체제 방통위, 바람직하지 않지만 위법 아니다”2024.06.21
- LG 구광모 6년...AI·바이오·클린테크 키운다2024.06.28
- 화재 막는 배터리 진단기술 뜬다...민테크, 상장 후 존재감 '쑥쑥'2024.06.28
