핵심 요약
한국인터넷진흥원(KISA)이 2026년 SW 공급망 보안 체계(SSDF) 진단 서비스를 운영 중입니다. 모바일 앱 개발사를 포함한 국내 SW 개발·공급사라면 개발 환경, 오픈소스 취약점, 빌드·배포 파이프라인, 모바일 앱 취약점까지 무료로 점검받을 수 있습니다. 신청은 보호나라(boho.or.kr)에서 온라인으로 가능하며, 문의는 KISA 118 콜센터로 하면 됩니다.
목차
- KISA SW 공급망 보안 체계(SSDF) 진단이란?
- SSDF가 뭔가요? 쉽게 풀어드립니다
- 2026년 KISA SSDF 진단 서비스 핵심 정보
- 신청 방법 단계별 안내
- 중소기업·스타트업이라면 꼭 신청하세요
- 자주 묻는 질문(FAQ)
KISA SW 공급망 보안 체계(SSDF) 진단이란?
스마트폰 앱 하나를 개발하기까지 얼마나 많은 외부 코드가 들어갈까요? 오픈소스 라이브러리, 써드파티 SDK, 빌드 툴 등 수십에서 수백 개의 외부 구성 요소가 포함됩니다. 문제는 이 중 하나라도 취약점이 있으면 완성된 앱 전체가 위험해진다는 점입니다.
이른바 소프트웨어 공급망(SW Supply Chain) 공격입니다. 2021년 전 세계를 흔들었던 Log4Shell 취약점, 2024년 XZ Utils 백도어 사태처럼 개발 단계에 숨어든 보안 위협은 발견하기 매우 어렵습니다.
한국인터넷진흥원(KISA)은 이런 위협에 대응하기 위해 SW 공급망 보안 체계 진단 서비스를 운영합니다. 국내 소프트웨어 개발사라면 누구나 무료로 신청할 수 있습니다.
SSDF가 뭔가요? 쉽게 풀어드립니다
SSDF는 Secure Software Development Framework의 약자입니다. 우리말로는 ‘안전한 소프트웨어 개발 체계’라고 할 수 있습니다.
미국 국립표준기술연구소(NIST)에서 만든 기준으로, 소프트웨어를 설계·개발·테스트·배포하는 모든 단계에서 지켜야 할 보안 원칙을 담고 있습니다.
KISA는 이 NIST SSDF를 바탕으로 국내 환경에 맞게 조정한 진단 서비스를 제공합니다. 쉽게 말해, 내 앱이 개발부터 배포까지 얼마나 안전하게 만들어졌는지 전문가가 점검해 주는 서비스입니다.
2026년 KISA SSDF 진단 서비스 핵심 정보
| 항목 | 내용 |
|---|---|
| 운영기관 | 한국인터넷진흥원(KISA) |
| 대상 | 국내 SW 개발·공급사(모바일 앱 개발사 포함) |
| 비용 | 무료 |
| 신청 채널 | 보호나라(boho.or.kr) 온라인 신청 |
| 문의 | KISA 118 콜센터 |
진단 항목별 상세
진단은 소프트웨어 개발 전 주기를 4개 영역으로 나눠 점검합니다.
1. 개발 환경 보안
개발자가 사용하는 PC, 코드 저장소(GitHub 등), 개발 도구의 보안 설정 상태를 점검합니다. 개발자 단말에서부터 악성코드가 삽입될 수 있어 가장 기본이 되는 영역입니다.
2. 오픈소스 취약점 점검
앱에 사용된 오픈소스 라이브러리와 써드파티 SDK의 알려진 취약점(CVE)을 자동·수동으로 스캔합니다. Log4Shell 같은 공급망 위협을 조기에 차단할 수 있습니다.
3. 빌드·배포 파이프라인 보안
CI/CD 파이프라인(Jenkins, GitHub Actions 등)의 보안 설정을 점검합니다. 빌드 서버 해킹으로 최종 앱에 악성코드가 심길 수 있는 위험을 차단합니다.
4. 모바일 앱 취약점 점검
안드로이드·iOS 앱 자체의 취약점을 분석합니다. 데이터 암호화 미흡, 인증 우회, 역공학 취약점 등을 점검하고 개선 방안을 제안합니다.
신청 방법 단계별 안내
신청 절차는 간단합니다. 아래 순서대로 따라하세요.
- 보호나라(boho.or.kr) 접속
- 상단 메뉴에서 [기업서비스] 클릭
- [SW 공급망 보안 체계 진단] 항목 선택
- 신청서 작성 (회사 정보, 대상 소프트웨어, 담당자 연락처)
- 제출 후 KISA 담당자 연락 대기
서비스 신청 후 KISA 전문가 팀이 연락해 일정을 조율합니다. 진단 방법과 범위는 신청 내용에 따라 맞춤 제공됩니다.
문의사항은 한국인터넷진흥원 118 콜센터로 연락하시면 됩니다. 평일 오전 9시부터 오후 6시까지 운영합니다.
중소기업·스타트업이라면 꼭 신청하세요
보안 투자 여력이 부족한 중소 개발사나 스타트업에게 특히 추천합니다. KISA의 SSDF 진단은 무료 서비스인 데다 전문 컨설팅까지 포함돼 있어, 자체적으로 보안 감사를 의뢰하면 수백만 원이 들 수 있는 서비스를 공짜로 받을 수 있습니다.
모바일 앱 개발사라면 앱스토어 정책도 점점 강화되고 있습니다. 구글 플레이와 애플 앱스토어 모두 보안 취약점이 있는 앱을 삭제하거나 등록을 거부하는 사례가 늘고 있습니다. 사전 점검이 최선의 방어입니다.
공급망 보안은 개발자만의 문제가 아닙니다. 스마트폰 앱을 사용하는 이용자 모두가 혜택을 봅니다. 개발사의 적극적인 참여가 곧 안전한 앱 생태계로 이어집니다.
자주 묻는 질문 (FAQ)
Q. 개인 개발자도 신청할 수 있나요?
국내에서 SW를 개발하거나 공급하는 기업이 대상입니다. 개인사업자나 소규모 스타트업도 신청 가능합니다. 정확한 자격 요건은 KISA 118로 문의하세요.
Q. 진단 결과는 어떻게 받나요?
진단 완료 후 KISA 전문가가 취약점 분석 리포트와 개선 권고안을 제공합니다. 발견된 취약점별 위험도와 조치 방법이 포함됩니다.
Q. 모바일 앱만 점검받을 수 있나요?
모바일 앱뿐 아니라 웹 서비스, 솔루션, 패키지 SW 등 다양한 유형의 소프트웨어가 대상입니다. 개발 환경과 배포 파이프라인까지 전체 공급망을 점검합니다.
Q. 신청 후 대기 기간이 있나요?
신청 건수에 따라 일정이 조율됩니다. 구체적인 일정은 KISA 담당자가 신청 후 연락해 협의합니다.
Q. 비용이 정말 무료인가요?
네, 완전 무료입니다. KISA가 정부 예산으로 운영하는 공공 서비스이므로 신청 기업에게 어떠한 비용도 청구하지 않습니다.
보안·안전 카테고리의 다른 글
LG유플러스 침해사고 은폐 위약금 면제 가능성 총정리 2026 – 입법조사처 귀책사유 해석과 가입자 대응법
LG유플러스 침해사고 은폐 의혹으로 위약금 면제 가능성이 제기되었습니다. 입법조사처 해석, SKT KT 사례 비교, 가입자가 알아야 할 대응 방법을 정리했습니다.
KISA 모의침투 보안취약점 점검 2026 – 무료 해킹 시뮬레이션 신청 방법
핵심 요약 KISA(한국인터넷진흥원)가 2026년에도 민간기업을 대상으로 무료 모의침투·보안취약점 점검 서비스를 운영합니다. 국제 해킹대회 입상자가 실전 공격을 직접 시도해 보안 허점을…
기업뱅킹 전자금융 소프트웨어 취약점 – 스마트폰 모바일뱅킹 보안 점검 방법 핵심 포인트 4가지, 2026년 최신 정리
KISA WGear 전자금융 소프트웨어 취약점 공지를 바탕으로 모바일뱅킹 이용자가 확인할 업데이트·삭제·신고 기준을 정리했습니다.
큐싱(QR코드 피싱) 주의보 – QR 찍기 전 반드시 확인해야 할 보안 수칙 2026
핵심 요약 큐싱(Qshing)은 QR코드를 악용한 피싱 수법으로, 악성 QR코드를 스캔하면 가짜 사이트 유도 또는 악성 앱 설치로 개인정보가 유출됩니다. 주차…
LGU+ IMSI 보안 취약 문제와 4월 유심 교체 총정리
LG유플러스가 IMSI(가입자식별번호)에 전화번호를 반영하는 방식으로 보안 취약점이 확인되었습니다. 4월 13일부터 전체 가입자 대상 유심 교체가 진행되며, 교체 비용은 무료입니다. 실제…