인용·논평 안내. 본 글은 과학기술정보통신부, 국가정보원, 한국인터넷진흥원이 공개 발행한 「AI 일상화 시대를 준비하는 SW 공급망 보안 강화 로드맵」(2026-06-24)을 저작권법 제28조에 따라 출처를 밝혀 인용·논평한 글입니다. 원문의 표와 도식은 복제하지 않았고, 본문 서술과 도식은 외부 1차 출처를 근거로 한 자체 저작물입니다. 저작자 표시: 과학기술정보통신부, 국가정보원, 한국인터넷진흥원, 「AI 일상화 시대를 준비하는 SW 공급망 보안 강화 로드맵」, 2026-06-24.

요약 정부는 2026년 6월 24일 향후 3년의 소프트웨어 공급망 보안 정책 방향을 담은 로드맵을 공개했습니다. 핵심은 소프트웨어 자재명세서(Software Bill of Materials, SBOM)를 중심에 둔 투명성 관리 모델, 기업의 보안 점검을 돕는 테스트베드와 컨설팅, 우수기업을 가려내는 시범인증, 그리고 빠른 탐지·대응 체계입니다. 전체 SW기업의 81%가 10인 미만인 산업 구조를 의식해 중소기업 부담 경감을 곳곳에 배치한 점이 두드러집니다. 미국 식품의약국(FDA) 의료기기 인허가와 EU 사이버복원력법(Cyber Resilience Act, CRA)이 이미 SBOM을 시장 진입 조건으로 만든 만큼, 이 로드맵은 수출기업, 공공 SW 납품기업, 중소 SW기업의 실무에 직접 맞닿아 있습니다.

1. 로드맵의 성격과 발표 경위

정부는 2026년 6월 24일 서울 양재 aT센터 공급망보안워크숍에서 「AI 일상화 시대를 준비하는 SW 공급망 보안 강화 로드맵」을 공개했습니다A1·B-news-zdnet. 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(Korea Internet & Security Agency, KISA)이 관계부처 합동으로 마련했고, 발행처는 KISA입니다A1. 법령이나 고시가 아니라 향후 3년의 정책 방향을 제시하는 행정계획 성격의 문서로, 개별 과제의 상당수는 법·제도 정비와 가이드라인 발간, 인증제 개편을 거쳐야 규범력을 얻습니다A1.

발표는 예고된 흐름을 따랐습니다. 정부는 2024년 「SW 공급망 보안 가이드라인 1.0」을 발표할 때부터 하반기에 산·학·연 합동 태스크포스를 꾸려 제도화 방향을 논의한 뒤 로드맵을 마련하겠다고 밝혔고D6, 2025년 12월 24일 과기정통부와 국정원이 범정부 협력체계 구축에 합의한 뒤B-news-etnews 이번 발표로 이어졌습니다. 정부는 일관되게 2027년 제도화를 목표로 설명해 왔습니다B-news-zdnet.

로드맵은 “안전하고 책임 있는 공급망 보안 체계의 전환을 통한 사이버 복원력 확보"를 비전으로 내걸고, 이를 예방·복원·기반의 세 축으로 수렴시켰습니다A1. 그 아래 세 개 추진 전략과 아홉 개 세부과제가 놓입니다.

%%{init: {'theme':'default', 'themeVariables': {'fontSize':'19px'}, 'flowchart': {'nodeSpacing': 50, 'rankSpacing': 70}} }%%
flowchart TB
V["비전<br/>SW 공급망<br/>사이버 복원력 확보"]
V --> A["예방<br/>위협 예방<br/>역량 강화"]
V --> B["복원<br/>신속한 탐지·<br/>대응 체계"]
V --> C["기반<br/>정책·제도적<br/>기반 조성"]
style V fill:#fff3e0,stroke:#ef6c00,stroke-width:2px
style A fill:#e3f2fd,stroke:#1565c0,stroke-width:1.5px
style B fill:#e3f2fd,stroke:#1565c0,stroke-width:1.5px
style C fill:#e3f2fd,stroke:#1565c0,stroke-width:1.5px

그림 1. 로드맵의 비전과 세 추진 전략(본 보고서 정리; 로드맵A1 근거).

2. 예방 — 보안 내재화와 SBOM 투명성

예방 전략은 소프트웨어 생애주기 전반에 보안을 내재화하는 기준과 가이드를 만드는 데서 출발합니다. 로드맵은 미국 표준기술연구소(National Institute of Standards and Technology, NIST)의 안전한 소프트웨어 개발 프레임워크(Secure Software Development Framework, SSDF, SP 800-218)를 참고한 “안전한 SW 개발 방법론"을 제시하고, 기획설계와 개발, 테스트, 배포 단계별로 보안 요구사항 정의, 시큐어 코딩, 취약점 재검증, 코드 서명 같은 활동을 배치하겠다고 밝혔습니다A1·B5. 선행 자료인 「SW 공급망 보안 가이드라인 1.0」은 실무에서 쓸 수 있는 2.0으로 개선합니다. 라이선스 중심이던 오픈소스 관리를 보안 측면으로 넓히고, 자체 개발 코드 위주이던 개발 보안을 공급망 전반으로 확대하며, 보안 준수 자동화 도구 활용을 새로 더하는 방향입니다A1·A2.

투명성 제고 과제의 핵심 수단이 SBOM입니다. SBOM은 소프트웨어 구성요소 정보를 기술하는 명세서로, 국내에서는 SW 구성요소 명세서 등으로도 불립니다. 로드맵은 SBOM 관리 모델을 우선 적용할 대상으로 수출기업과 파급력 높은 분야를 꼽았습니다A1. 수출기업의 경우 미국 FDA 의료기기 인허가, 미국 상무부의 커넥티드카 SBOM 관리의무, EU CRA의 디지털 요소 기기 SBOM 의무가 직접적 동기이고A1·B7·B1, 파급력 높은 분야로는 보안 SW, 금융·교통 등 사회 기반 SW, 건강·의료 등 민감정보 관리 SW가 포함됩니다A1.

데이터 형식은 이미 정해진 셈입니다. 국제표준화기구(ISO)는 리눅스 재단의 SPDX를 ISO/IEC 5962:2021로 표준화했고C4, OWASP의 CycloneDX는 ECMA-424로 표준화돼 2025년 12월 공표됐습니다C5. 로드맵이 SBOM 항목을 미국 통신정보관리청(National Telecommunications and Information Administration, NTIA)의 「SBOM 최소 요소」(2021)와 CRA 요건을 의식해 “이중 규제로 작용하지 않도록 최소한으로 도출"하겠다고 한 것은 이 국제 형식과의 정합을 노린 설계입니다A1·C1. 형식 호환은 출발점이고, 로드맵 스스로 남은 과제로 꼽은 것은 SBOM의 신뢰도 검증과 그 안에 담긴 취약점 정보를 안전하게 유통하는 방안입니다A1. SBOM은 투명성을 높이는 동시에 어떤 구성요소에 어떤 취약점이 있는지를 공격자에게도 드러낼 수 있어, 생성과 공유 사이의 균형 설계가 후속 가이드라인의 관건입니다A1.

3. 복원 — 빠른 탐지와 위험관리, 기업 부담 경감

탐지·대응 전략은 KISA가 2012년 10월부터 운영해 온 보안취약점 신고포상제(버그바운티)의 범위를 넓히고D2, 조정된 취약점 공개(Coordinated Vulnerability Disclosure, CVD)와 취약점 공개 정책(Vulnerability Disclosure Policy, VDP)을 단계적으로 확대하는 것을 골자로 합니다A1. 로봇청소기, IP카메라 같은 사물인터넷(Internet of Things, IoT) 가전과 태양광 인버터 등 정보통신망연결기기를 대상으로 보안 실태점검을 도입하기 위해 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 개정을 추진합니다A1.

위험관리 체계는 공공과 민간으로 나뉩니다. 공공분야에서는 SBOM 관리체계를 개발하면서 신뢰성 보장 단계에 취약점 영향도 분석 정보(Vulnerability Exploitability eXchange, VEX)를 포함하고, 공공분야 SBOM 통합 관리 시스템과 취약점 정보 DB를 단계적으로 구축합니다A1. 민간분야에서는 고위험 취약점 상시 관리체계를 만들고, 취약점 발견 시 제조사 패치 요청과 백신SW 일괄 삭제를 거치는 클리닝 서비스(C-Clean)로 대응 기간을 “평균 4개월 이상에서 3일 내로” 단축하겠다는 목표를 제시했습니다A1.

기업이 실제로 체감하는 지원은 점검과 진단, 도구와 인력 보급에 모여 있습니다. 로드맵은 개발보안허브와 판교 국가사이버안보센터(National Cyber Security Center, NCSC) 같은 기존 시설을 활용해 SBOM 생성·취약점 점검 도구를 쓸 수 있는 테스트베드를 확충하고, 의료기기 인허가나 EU CRA 같은 글로벌 규제 점검도 메뉴에 넣겠다고 밝혔습니다A1. 중소 SW 개발기업을 대상으로는 개발 인프라와 관리체계를 분석·진단하는 컨설팅을 2026년부터, 클라우드 기반 개발환경과 보안 솔루션 보급을 2027년부터 배치했습니다A1. 전체 SW기업의 81%가 10인 미만이라는 산업 구조(2023년 SW산업 실태조사, 종사자 규모별 합계 43,932개)를 명시하고 그에 맞춘 지원을 설계한 점이 로드맵 전반의 특징입니다A1·D1.

4. 기반 — 정책체계, 시범인증, 글로벌 협력

기반 조성 전략에서는 과기정통부와 국정원이 (가칭)범정부 SW 공급망 보안협의체를 공동 주관하고, 의료기기, 자동차, 공공정보시스템, 금융, 보안의 다섯 개 분과로 운영합니다A1. 법·제도 정비의 중심에는 시범인증이 있습니다. 정부는 SW 공급망 보안관리를 검증해 우수기업 확인서((가칭) SSS Verified, Software Supply-Chain Security Verified)를 발급하고, 제도화 국가와 상호인정(Mutual Recognition Agreement, MRA)을 추진하며, 정보보호 관리체계 인증(ISMS), 클라우드 보안인증(CSAP), IoT 보안인증 안에 공급망 보안 시험평가 요소를 반영해 정규 제도화하겠다고 밝혔습니다A1. 새 인증을 따로 만들기보다 기존 제도에 얹는 선택을 한 점이 눈에 띕니다.

공공 조달 쪽 변화도 분명합니다. 정보화사업에 SBOM 제출과 취약점 대응 절차, 공급망 사이버보안 위험관리 절차서가 과제로 들어갔고, 보안적합성 검증은 국가 망 보안체계(National Network Security Framework, N2SF) 등을 고려해 대상을 넓히면서 SBOM 제출 확인을 결합합니다A1·D3. N2SF는 업무·데이터 중요도에 따라 보안 수준을 차등 적용하는 다층보안 접근으로, 보안가이드라인 정식판 1.0이 2025년 9월 30일 공개돼 2026년 사이버보안 평가에 반영됐습니다D3·D-news-boan.

글로벌 협력 과제는 두 다자 협력체와 연결됩니다. 글로벌 사이버보안 라벨링 이니셔티브(Global Cybersecurity Labelling Initiative, GCLI)는 IoT 보안인증 라벨의 상호인정과 단일 표준 제정을 논의하는 협력체로, 2025년 10월 23일 싱가포르 국제사이버위크에서 11개 창립 회원으로 출범했고 한국의 과기정통부와 KISA가 창립 회원으로 참여합니다A10. 로드맵은 이와 함께 글로벌 정부 전문가 포럼(Global Government Expert Forum, GGEF), 미국 사이버보안·인프라보안청(Cybersecurity and Infrastructure Security Agency, CISA), EU 집행위 정보통신총국(DG CONNECT), 영국 과학혁신기술부(DSIT)와의 협력을 글로벌 진출 지원의 통로로 제시했습니다A1.

%%{init: {'theme':'default', 'themeVariables': {'fontSize':'19px'}, 'flowchart': {'nodeSpacing': 45, 'rankSpacing': 60}} }%%
flowchart TB
G1["미국 NIST SSDF<br/>· EO 14028"]
G2["미국 FDA §524B<br/>· EU CRA<br/>(SBOM 의무)"]
G3["EU CRA<br/>취약점 보고·CVD"]
G4["미국 Cyber Trust Mark<br/>· 영국 PSTI"]
G1 --> T1["안전한 SW<br/>개발 방법론"]
G2 --> T2["SBOM<br/>관리모델"]
G3 --> T4["CVD/VDP 확대"]
G4 --> T8["시범인증·<br/>MRA·사후관리"]
style G1 fill:#eceff1,stroke:#455a64,stroke-width:1.5px
style G2 fill:#eceff1,stroke:#455a64,stroke-width:1.5px
style G3 fill:#eceff1,stroke:#455a64,stroke-width:1.5px
style G4 fill:#eceff1,stroke:#455a64,stroke-width:1.5px
style T1 fill:#e3f2fd,stroke:#1565c0,stroke-width:1.5px
style T2 fill:#e3f2fd,stroke:#1565c0,stroke-width:1.5px
style T4 fill:#e3f2fd,stroke:#1565c0,stroke-width:1.5px
style T8 fill:#e3f2fd,stroke:#1565c0,stroke-width:1.5px

그림 2. 로드맵이 참조한 글로벌 제도와 정책 과제의 대응 관계(본 보고서 정리; 외부 출처는 §5 참조).

로드맵은 신기술 대응을 별도 연구 과제로 분리했습니다. AI 등 신기술 일상화에 대응하는 공급망 보안 모델 연구를 2027년 이후 과제로 두었고A1, AI용 SBOM의 데이터 층위(학습 데이터, 모델 가중치 등)는 일반 SW 공급망을 중심에 둔 이번 로드맵의 직접 범위에 포함되지 않았습니다.

5. 글로벌 규제가 만든 배경

로드맵이 SBOM과 시범인증, 상호인정을 핵심 수단으로 삼은 데에는 수출기업이 마주한 해외 규제가 있습니다. 로드맵이 인용한 기업 인터뷰가 이를 단적으로 보여줍니다. 디지털 의료기기 제조기업이 FDA 인허가 단계에서 SBOM 요구로 대응에 곤란을 겪었고, 미국에 진출한 정보보호기업은 연방정부 SW 납품 중 SBOM 관리요건 미충족 시 차년도 계약 불가를 통보받았으며, 인공지능 솔루션 개발기업은 글로벌 금융기업 납품 준비 중 사이버보안 요건 미충족으로 계약이 무산됐습니다A1.

이들 규제는 대부분 2021~2024년 사이에 확정됐습니다. EU 사이버복원력법(Regulation (EU) 2024/2847)은 디지털 요소를 가진 제품에 수평적 사이버보안 요건을 부과하는 규정으로, 2024년 12월 10일 발효됐습니다B1·B2. 제14조 보고 의무는 2026년 9월 11일부터, 적합성 평가와 CE 마킹을 포함한 본질적 의무 전반은 2027년 12월 11일부터 적용됩니다B2. 제조사는 디지털 요소를 가진 제품의 SBOM 작성과 생애주기 전반의 취약점 처리, 그리고 적극적으로 악용되는 취약점이나 중대 사고를 인지 후 24시간 안에 조기 경보하고 72시간 안에 통지하는 의무를 집니다B1. 위반 시 과징금은 최대 1,500만 유로 또는 전 세계 연 매출의 2.5% 중 높은 금액입니다B1. 로드맵이 반복하는 “‘27.12 시행 예정"이 이 전면 적용일입니다A1.

미국의 공급망 규제는 2021년 5월 12일 서명된 행정명령 14028(Executive Order 14028, Improving the Nation’s Cybersecurity)에서 출발해 SBOM을 연방 조달 요건으로 제도화하고 NIST에 SSDF를 정리하도록 이끌었습니다B3·B5. CISA는 2024년 3월 11일 안전한 소프트웨어 개발 증명 공통서식을 확정했습니다B4. 의료기기 규제는 2022년 통합세출법 제3305조가 연방 식품의약품화장품법(FD&C Act)에 제524B조를 신설하면서 시작됐고, 개정 조항은 2023년 3월 29일 발효됐습니다B7. 시판전 신청을 내는 제조자는 시판후 취약점 관리 계획과 보안 설계, 상용·오픈소스·기성품 구성요소를 담은 SBOM을 제출해야 합니다B7. 소비자 IoT 영역에서는 미국 연방통신위원회(Federal Communications Commission, FCC)가 2024년 3월 14일 자발적 라벨링 프로그램(미국 사이버 신뢰 마크, U.S. Cyber Trust Mark)을 의결했고B8, 영국은 제품 보안 및 통신 인프라법(Product Security and Telecommunications Infrastructure Act 2022, PSTI)을 2024년 4월 29일 발효했습니다B9. 로드맵이 사후관리 유도 과제에서 인용한 “美 Cyber Trust Mark"와 “영국 PSTI(‘24.4 시행)“가 이들입니다A1.

6. 시사점·고려사항

6.1 수출기업 — SBOM은 이미 시장 진입 조건

FDA 의료기기 인허가와 EU CRA가 SBOM 관리를 사실상 시장 진입 조건으로 만든 상황에서, 정부의 점검 지원과 상호인정 추진은 수출기업에 직접적 효용입니다A1·B1·B7. EU CRA 보고 의무는 2026년 9월 11일, 전면 적용은 2027년 12월 11일이므로B2, 수출기업은 한국의 MRA 합의를 기다리기보다 CRA 자체 일정에 맞춰 SBOM 생성과 취약점 보고 체계를 선제적으로 준비하는 편이 안전합니다. MRA는 상대국이 한국 인증을 동등하게 인정해야 성립하는데, 로드맵 자신도 MRA를 “추진"으로 표현할 뿐 합의 시점을 제시하지 않았습니다A1.

6.2 공공 SW 납품기업 — SBOM 제출이 정규 요건으로

공공분야는 정보화사업 SBOM 제출과 취약점 대응 절차가 과제로 명시됐고, 보안적합성 검증과 N2SF 전환에 SBOM 제출 확인이 결합됩니다A1·D3. 공공 SW를 납품하는 기업은 SBOM 생성을 빌드 파이프라인에 통합해 두는 준비가 필요합니다. 공공분야 SBOM 항목은 이중 규제가 되지 않도록 최소한으로 도출한다는 방침이라A1, 해외 요건과의 정합성이 실제로 어떻게 설계되는지를 후속 가이드라인에서 확인하는 것이 실무에 도움이 됩니다.

6.3 중소 SW기업 — 지원의 충분성이 관건

전체 SW기업의 81%가 10인 미만인 구조에서A1·D1, SBOM 생성과 취약점 관리에 필요한 도구·인력을 자체 부담하기는 어렵습니다. 로드맵은 컨설팅과 클라우드 기반 개발환경·보안솔루션 보급을 지원책으로 배치했으나, 보급 규모와 예산이 4만여 개 기업의 다수를 실질적으로 포괄하는지는 수치로 제시되지 않았습니다A1. 지원의 충분성은 향후 예산 편성으로 판가름될 영역입니다.

6.4 남은 리스크

외부 인프라 의존 리스크가 있습니다. 미국 공통 취약점·노출(Common Vulnerabilities and Exposures, CVE) 프로그램을 운영하는 마이터(MITRE)와 CISA의 계약이 2025년 4월 16일 만료 직전까지 갔다가 11개월 연장으로 봉합됐고, CVE 이사회는 2026년 1월 21일 “3월 자금 절벽은 없다"고 확인했습니다E6·F-news-cso. 위기는 봉합됐으나 미국 정부 예산에 종속된 글로벌 취약점 식별 체계의 구조적 불안정성은 그대로여서, 로드맵이 대체 프로그램 발굴을 과제로 넣은 것은 합당한 대비입니다A1.

개발 현장의 준비 수준도 변수입니다. Black Duck이 2025년 7~8월 전 세계 전문가 1,001명을 조사한 DevSecOps 현황에 따르면, 45.56%는 새 코드를 보안 테스트에 넣는 일을 여전히 수동으로 처리합니다H1. 속도는 표준이 됐지만 보안 자동화가 따라가지 못하는 이 격차는, 로드맵이 사람 중심 수동 대응을 AI 중심 자율체계로 전환하겠다고 한 문제의식과 겹칩니다A1. SBOM 생성과 취약점 점검을 자동화 파이프라인에 통합하지 못하면 의무화가 현장에서 추가 수작업 부담으로 귀결될 위험이 있습니다.

참고로 로드맵이 “가트너(‘24.6)“로 귀속한 공급망 공격 글로벌 피해액(2023년 460억 달러에서 2031년 1,380억 달러 추정)은 실제로는 Cybersecurity Ventures의 추정치입니다E4.

7. 참고 자료

본문에서[A1]처럼 인용한 항목을 정리합니다. 모든 URL의 접속일은 2026-06-24입니다. 정부·기관 사이트는 자동 수집 도구에 봇 차단을 반환하는 경우가 있으나 죽은 링크가 아니며, 해당 항목은 기존 검증 자산이나 WebSearch로 교차 확인했습니다.

분석 대상·국내 선행 자료

A1. 과학기술정보통신부, 국가정보원, 한국인터넷진흥원 관계부처 합동 (2026).AI 일상화 시대를 준비하는 SW 공급망 보안 강화 로드맵. 발행처 한국인터넷진흥원(나주), 2026-06-24 1판 1쇄. 본문 30쪽, CC BY-NC-ND 2.0 KR. 발표 당일(2026-06-24 양재 aT센터 공급망보안워크숍) 공개돼 확정 PDF 직링크는 미확정이며, 과기정통부 보도자료(https://www.msit.go.kr/bbs/list.do?sCode=user&mId=307&mPid=208)와 KISA 자료실에서 확인할 수 있음. —용도: 본 글의 인용·논평 대상인 공개 정부 로드맵. 출처를 밝혀 인용하고 원문 표·도식은 복제하지 않음.↩

A2. 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회 (2024).SW 공급망 보안 가이드라인 1.0(요약본 2024-05-13). 발행처 KISA 자료실.https://www.kisa.or.kr/2060204/form?postSeq=15 (접속: 2026-06-24, WebSearch로 발행 주체와 SSDF·SBOM·단계별 점검 내용 교차 확인). —용도: 로드맵이 2.0으로 개선하겠다고 밝힌 직접 선행 자료.↩

A10. Cyber Security Agency of Singapore et al. (2025).Joint Statement on the Global Cybersecurity Labelling Initiative (GCLI). 2025-10-23 출범.https://www.csa.gov.sg/news-events/press-releases/joint-statement-on-the-global-cybersecurity-labelling-initiative/ (접속: 2026-06-24, WebSearch로 출범일과 11개 창립 회원, 한국 참여 교차 확인). —용도: GCLI 출범·구성과 한국 참여 확인.↩

글로벌 법령·규제 원문

B1. European Parliament and Council (2024).Regulation (EU) 2024/2847 — Cyber Resilience Act. Official Journal of the EU, OJ L, 2024/2847, 20.11.2024.https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng (접속: 2026-06-24, 워크스페이스eu-cra-vulnerability-reporting 검증 자산으로 재확인). —용도: CRA SBOM·취약점 의무, 보고 시한(24h/72h), 과징금, 시행일의 1차 근거.↩

B2. European Commission, DG CNECT (2026).Cyber Resilience Act — Shaping Europe’s digital future.https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act (접속: 2026-06-24). —용도: 시행 일정(2024-12-10 발효, 2026-09-11 보고 의무, 2027-12-11 전면 적용)의 1차 확인.↩

B3. The White House (2021).Executive Order 14028 — Improving the Nation’s Cybersecurity. Federal Register, 86 FR 26633, 2021-05-17.https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity (접속: 2026-06-24, 200 OK). —용도: SBOM의 연방 조달 요건화, NIST SSDF 정리 지시의 1차 근거.↩

B4. CISA (2024).Secure Software Development Attestation Common Form (Final). 2024-03-11 공개.https://www.cisa.gov/secure-software-attestation-form (접속: 2026-06-24, cisa.gov 봇 차단, 공개일 WebSearch 교차 확인). —용도: 미국 연방 조달 SSDF 자가증명 의무. 로드맵 “‘23.6~” 표기는 정책 논의 시점, 서식 자체는 2024-03 공개.↩

B5. NIST — Souppaya, M., Scarfone, K., Dodson, D. (2022).Secure Software Development Framework (SSDF) Version 1.1. NIST SP 800-218. DOI: 10.6028/NIST.SP.800-218.https://csrc.nist.gov/pubs/sp/800/218/final (접속: 2026-06-24). —용도: 로드맵 “안전한 SW 개발 방법론"의 직접 참조 프레임워크.↩

B7. U.S. Food and Drug Administration / Federal Register (2023).Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions (FD&C Act §524B, 2022 Consolidated Appropriations Act §3305 신설, 시행 2023-03-29).https://www.federalregister.gov/documents/2023/09/27/2023-20955/cybersecurity-in-medical-devices-quality-system-considerations-and-content-of-premarket-submissions (접속: 2026-06-24, 200 OK). —용도: FDA 의료기기 SBOM 요구의 1차 근거.↩

B8. Federal Communications Commission (2024).Cybersecurity Labeling for Internet of Things — Report and Order (FCC 24-26) (U.S. Cyber Trust Mark). 채택 2024-03-14.https://www.federalregister.gov/documents/2024/03/25/2024-06249/cybersecurity-labeling-for-internet-of-things (접속: 2026-06-24, 200 OK). 프로그램 허브:https://www.fcc.gov/CyberTrustMark. —용도: 미국 자발적 IoT 라벨링의 1차 근거.↩

B9. UK Government / DSIT (2022/2024).Product Security and Telecommunications Infrastructure (PSTI) Act 2022, Part 1 (시행 2024-04-29).https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime (접속: 2026-06-24, WebSearch로 발효일·과징금 한도 교차 확인). —용도: 영국 PSTI 의무 규제의 1차 근거.↩

표준·가이던스

C1. U.S. Department of Commerce / NTIA (2021).The Minimum Elements For a Software Bill of Materials (SBOM). 2021-07-12.https://www.ntia.gov/files/ntia/publications/sbom_minimum_elements_report.pdf (접속: 2026-06-24, ntia.gov 크롤러 차단, 워크스페이스sbom-guide·g7-sbom-for-ai 검증 자산으로 재확인). —용도: 로드맵 “SBOM 항목 최소한 도출"의 기준선.↩

C4. The Linux Foundation / SPDX Project.SPDX Specifications (현행 SPDX 3.0, ISO/IEC 5962:2021로 표준화).https://spdx.dev/use/specifications/ (접속: 2026-06-24, 200 OK,sbom-guide 검증 완료). —용도: SBOM 표준 형식. 글로벌 호환성 근거.↩

C5. OWASP Foundation / Ecma International (2025).CycloneDX Specification / ECMA-424 (published 2025-12-10).https://cyclonedx.org/specification/overview/ (접속: 2026-06-24, 200 OK,sbom-guide 검증 완료). —용도: SBOM 표준 형식.↩

국내 제도·통계

D1. 과학기술정보통신부와 한국정보통신진흥협회(KAIT) (2024).2023년 소프트웨어산업 실태조사(국가승인통계). 통계 포털 SWSTAT:https://stat.spri.kr/ (접속: 2026-06-24, WebSearch로 발행 기관과 통계 성격 확인). —용도: 로드맵 “SW기업 81%가 10인 미만(합계 43,932개)” 통계의 발행 체계 근거. 81% 비율과 43,932개 수치는 실태조사 원본 표 직접 대조 미완으로 로드맵 인용으로 표기.↩

D2. 한국인터넷진흥원(KISA) / KrCERT (2012~).보안취약점 신고포상제(버그바운티).https://www.krcert.or.kr/kr/bbs/list.do?menuNo=205027 (접속: 2026-06-24, WebSearch로 2012-10 운영 개시·분기별 평가 교차 확인). —용도: 로드맵 탐지·대응 과제가 확대하려는 기존 제도의 근거.↩

D3. 국가정보원·국가사이버안보센터 (2025).국가 망 보안체계(N2SF) 보안가이드라인 정식판 1.0 (2025-09-30 공개).https://www.nis.go.kr/CM/1_4/view.do?seq=373 (접속: 2026-06-24, WebSearch로 공개일·차등 보안등급 체계 교차 확인). —용도: 로드맵 보안적합성 검증 대상 확대(N2SF)의 근거.↩

D6. 디지털플랫폼정부위원회 (2024).정부, ‘SW 공급망 보안 가이드라인 1.0’ 발표 (보도자료, 2024-05-13).https://www.dpg.go.kr/DPG/contents/DPG02020000.do?schM=view&id=20240513105420991857&schBcid=press (접속: 2026-06-24, WebSearch로 발표일 2024-05-13과 “하반기 범정부 합동TF로 로드맵 마련 계획” 본문 교차 확인). —용도: 가이드라인 1.0 발표 경위와 “하반기 합동TF로 로드맵 마련 계획"의 1차 발표.↩

로드맵 인용 통계의 원 출처

E4. Cybersecurity Ventures (2024).Software Supply Chain Attacks To Cost The World $60 Billion By 2025.https://cybersecurityventures.com/software-supply-chain-attacks-to-cost-the-world-60-billion-by-2025/ (접속: 2026-06-24, WebSearch로 2023년 460억 달러·2031년 1,380억 달러 확인). —용도: 로드맵 공급망 피해액 통계의 실제 원 출처. 로드맵의 “가트너(‘24.6)” 귀속은 부정확하며 본 글에서 Cybersecurity Ventures로 정정.↩

E6. MITRE / CISA (2025). CVE 프로그램 계약 만료와 연장 경위. Cybersecurity Dive(2025-04):https://www.cybersecuritydive.com/news/cisa-extend-funding-cve/745531/ (접속: 2026-06-24, WebSearch로 5,780만 달러 계약, 2025-04-16 만료, 11개월 연장, CVE Foundation 설립 확인). 프로그램 공식:https://www.cve.org/. —용도: 로드맵 CVE 대체 프로그램 발굴 배경. 언론 보조 출처.↩

동향·업계 보도

B-news-etnews. 전자신문 (2025-12-24).과기정통부-국정원, SW 공급망 보안 손잡았다…범정부 협력체계 구축.https://www.etnews.com/20251224000334 (접속: 2026-06-24). —용도: 범정부 협력체계 합의(2025-12-24) 시점 확인.↩

B-news-zdnet. ZDNet Korea (2026-06-16).정부, SW 공급망 보안 로드맵 24일 공개.https://zdnet.co.kr/view/?no=20260616111556 (접속: 2026-06-24). —용도: 발표일(2026-06-24), 주체(과기정통부·국정원), 장소(양재 aT센터), 2027 제도화 목표 1차 확인.↩

D-news-boan. 보안뉴스 (2026).국정원 보안적합성검증에서 N2SF로…달라진 패러다임 무엇?.https://m.boannews.com/html/detail.html?tab_type=1&idx=140209 (접속: 2026-06-24). —용도: 보안적합성 검증에서 N2SF로의 전환, 2026 사이버보안 평가 반영 보도.↩

F-news-cso. CSO Online (2026).CVE program funding secured, easing fears of repeat crisis.https://www.csoonline.com/article/4142600/cve-program-funding-secured-easing-fears-of-repeat-crisis.html (접속: 2026-06-24). —용도: CVE 이사회 2026-01-21 “3월 자금 절벽 없음” 확인.↩

개발 현장 동향

H1. Black Duck (2025).Balancing AI Usage and Risk in 2025: The Global State of DevSecOps (October 2025). 설문은 Censuswide가 2025-07~08 전 세계 전문가 1,001명 대상으로 수행. —용도: 개발 현장 보안 자동화 격차(수동 처리 45.56%).↩