실시간
뉴스

보안

"자체 구축 어렵다" SBOM도구 실증서 한목소리

디지털데일리 발행일 2025-03-13 09:19:06
김보민 기자

[ⓒ픽사베이]
[ⓒ픽사베이]

[디지털데일리 김보민기자] 소프트웨어(SW) 공급망 보안의 일환으로 '소프트웨어자재명세서(SBOM)'가 화두로 떠오른 가운데, 자체 구축이 어려워 제도적 지원이 필요하다는 의견이 나왔다.

13일 보안 업계에 따르면 한국정보보호산업협회(KISIA)는 이달 'SBOM 도구 실증 결과 보고서'를 공개했다.보고서는 미국 통신정보관리청(NTIA)에서 제시한 SBOM 도구 및 명세서 기준을 바탕으로, 고려대학교 컨소시엄이 연구·개발(R&D) 과제를 통해 개발한 결과물을 실제 정보보호기업 솔루션에 적용해 실증한 결과를 담았다.

SBOM은 SW 제품에 사용된 모든 구성 요소와 의존성을 기록한 목록으로, 제조업에 사용되는 자재명세서(BOM) 개념을 적용한 것이 특징이다. 최근 SW 공급망을 겨냥한 공격이 거세진 데 따라 미국, 유럽연합(EU), 일본을 중심으로 관련 정책 및 제도화 작업이 빨라지고 있다. 한국은 실증 사업 및 가이드라인을 정비하며 초기 도입 단계에 있다.

이번 실증은 SBOM 자동생성 도구의 실효성을 검증하는 데 초점을 뒀다. 실증에 활용된 도구는 고려대 소프트웨어보안연구소(CSSA)가 개발한 SBOM 자동생성도구('HatBOM')과, 취약점 탐지도구('Vuddy')다. 해당 도구를 활용해 SW 컴포넌트를 자동 관리 및 패치하고, 취약점이나 공급망 공격이 발생할 때 즉각 업데이트가 가능한지를 파악하는 것이 핵심이었다.

이번 실증은 참여 배경과 대상이 다르지만, 자체 SBOM 구현이 어렵고 사용 수요를 끌어올릴 필요가 있다는 유사한 결론이 나왔다. 참여 기업들은 제도적 차원의 지원이 수반돼야 SW 공급망 보안에 대한 실효성 또한 올라갈 것이라는 점에도 공감대를 표했다.

실증에 참여한 A사의 경우, 개발PC 환경에서 인공지능(AI) 기반 분석 보안 솔루션을 대상으로 SW 오픈소스 라이브러리 구성 요소와 취약점을 식별하는 방법으로 실증을 진행했다. 그 결과 소스코드에 활용되는 컴포넌트 수가 트리 형태로 정상 가시화되는 것을 확인했지만, 별도로 결과를 다운로드해야 하거나 SBOM 도구 활용법을 숙지하기가 어렵다는 애로사항을 발견했다.

B사의 경우, 현재 SBOM 도구가 지원하는 언어 'C++', 파이썬(Phython)으로 구성된 일부 서브 모듈을 통해 실증을 진행했다. 글로벌 규제 및 국내 컴플라이언스에 대비하는 것이 목적이었는데, 지원하는 언어에 한계가 있어 실제 사용 중인 솔루션의 전체 검증이 불가하다는 결과가 나왔다. 아울러 SBOM 도구를 처음 사용해 보는 입장에서 사용법을 숙지하기 어렵다는 결론도 도출했다.

C사 실증은 데이터 통합·수집 관리 솔루션과 보안 솔루션을 대상으로 진행돼, 분석에 필요한 소스코드를 분류하는 방식이 추진됐다. 사용 중인 오픈소스의 취약점을 탐지하는 것이 목표였는데, 실증 결과 언어 지원 한계를 극복하고 신뢰성 확보가 필요하다는 제언이 나왔다.

보고서는 애로사항과 관련해 "SBOM 명세서 생성 자동화 도구마다 특성과 생성하는 방식이 상이하다"며 "명세서 신뢰성 의문이 제기될 가능성이 존재해, SBOM 자동 생성 도구의 표준 준수 여부를 검증하고 명세서에 대한 인증 체계 도입이 필요하다"고 말했다.

GS인증, 조달물품등록 등 기존 규제에 더해 중소기업 부담이 가중될 수 있다는 우려도 제기됐다. 보고서는 "컴플라이언수를 지정할 때 기업 입장에서 생기는 비용적, 절차적 부담에 대한 고려가 필요하다"며 "SW 품질 식별성을 향상시키는 본연의 목적을 살리는 동시에, 부담을 최소화할 수 있는 절차 수립을 초기 제도적 정착 시기에 마련할 필요가 있다"고 강조했다.

SBOM 평가 기관이 미비한 상황 속 자체 구축이 어려울 수밖에 없는 만큼, 전문성 강화에 대한 지원 또한 수반돼야 한다는 의견도 나왔다. 보고서는 "중소·중견 기업의 자체 SBOM 구축은 매우 어려운 문제"라며 "내부 전문 인력의 전문성을 강화하기 위한 별도 프로그램이나 지원 계획에 대한 구체적인 방안이 필요하다"고 밝혔다.

한편 국내 시장에 SBOM이 정착할 수 있도록 정부 및 관련 기관의 지원 또한 이어질 예정이다. 한국인터넷진흥원(KISA)은 이날 SW 공급망 보안 사업설명회를 개최해, 올해 SBOM 기반 구축 지원 사업과 보안 점검및 기술지원 사업을 소개한다.

국내 보안업계 관계자는 "한국판 SW 공급망 보안은 아직 초기 단계"라며 "실증을 통해 실제 SW 공급망 보안에 대한 필요성과 SBOM 애로사항 등을 점검한 만큼, 지원 사업을 필두로 실효성 있는 윤곽이 잡힐 것으로 기대한다"고 말했다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언

x