[IT백과] 측정 못하면 관리도 불가능…SBOM·CBOM 차이는?

실시간
뉴스

e비즈*솔루션

[IT백과] 측정 못하면 관리도 불가능…SBOM·CBOM 차이는?

디지털데일리 발행일 2025-04-21 12:23:03

김보민 기자

URL복사

정보기술(IT) 영역에 관한 모든 지식을 압축해 풀이합니다. IT산업에 꼭 필요한 용어들을 소개하고, 살펴보면 좋을 쟁점들도 정리합니다. IT가 처음인 입문자라면 혹은 동향을 알고 싶은 전문가라면, 디지털데일리의 'IT백과'를 참고하세요. <편집자주>

[디지털데일리 김보민기자] '측정할 수 없다면 관리할 수도 없다.'

2020년 12월, 미국 연방정부와 글로벌 기업들은 솔라윈즈 오리온(SolarWinds Orion) 플랫폼의 소프트웨어(SW) 업데이트에 악성코드가 삽입돼 공급망 공격을 받았다고 공개 보고했다. 이 공격은 SW 공급망 보안의 현주소와, 더 나은 감독과 모니터링 체계가 필요하다는 데 경종을 울리며 수년이 지난 지금도 대표적인 위협 사례로 거론되고 있다.

이후 주요국과 보안 담당자들 사이에서는 SW 구성요소를 파악하고 위협 가능성을 측정할 수 없다면 관리가 불가능하다는 공감대가 커지기 시작했다. SW 제품을 설계하는 단계부터 보안 개념을 적용하는 '시큐어 바이 디자인(Secure by Design)'부터, SW 구성요소를 담는 '소프트웨어자재명세서(SBOM)'까지 주요 키워드에 대한 관심이 커진 이유다. 미 바이든 행정부는 2021년 국가사이버보안 강화에 대한 내용을 담은 행정명령(14028)을 통해, SW 공급업체가 자사 제품에 대한 SBOM을 제공하도록 하는 내용을 담기도 했다.

그러던 중, SBOM에서 한 단계 나아가, 암호화자재명세서(CBOM)을 이야기하는 목소리도 커지기 시작했다. 동일하게 '자재명세서(BOM)'라는 개념을 착안한 CBOM은, SBOM과 SW 구성요소를 관리하는 명세서라는 점에 공통점이 있지만 목적과 보안적 기능 측면에서는 차이가 있다.

먼저 SBOM은 시스템에 사용되는 모든 SW의 구성요소, 종속성, 라이브러리 등에 대한 포괄적인 목록을 제공한다. 이를 통해 SW 공급망에 대한 투명성을 보장하고 사고 대응과 디버깅, 규정 준수가 가능하도록 돕는 것이 특징이다. 조직은 SBOM을 통해 SW 구성요소의 출처를 추적하고, 라이선스 위험을 평가할 뿐만 아니라 보안 사고 및 공급망 공격이 발생했을 때 취약한 부분이 무엇인지 빠르게 확인할 수 있다.

CBOM은 SBOM에 보안 측면의 기능을 추가한 일종의 확장판으로 여겨진다. SBOM이 SW 구성요소를 식별하는 데 초점을 두고 있다면, CBOM은 사이버보안 위험에 초점을 둔다. CBOM은 조직이 오픈소스 구성 요소나 타사 코드의 보안 문제를 식별하고, 우선순위를 지정한 뒤 해결하는 역할을 한다. 아울러 타사 SW에 대한 가시성을 제공해 공급망 공격 여부를 확인하고, 내외부 침해가 발생했을 때 악용 가능한 구성 요소를 식별하도록 돕는다.

CBOM은 잠재적인 공격 경로부터 오래된 보안 조치, 공격자가 악용할 수 있는 잘못된 구성을 파악해 조직의 사이버보안 태세를 파악하도록 지원할 수 있다. SBOM과 CBOM의 관계가 일종의 대안이 아닌, 상호 보완적인 역할을 할 수 있다는 의미다.

CBOM은 특히 양자내성암호(PQC)에 필요한 표준화 작업이 이어지면서 주요국에서 주목을 받고 있다. PQC는 양자컴퓨터 공격 시도에도 안전하다고 여겨지는 일종의 암호 알고리즘으로, 기존 공개키 암호들이 쉽게 해독될 수 있다는 우려가 제기되면서 대안으로 떠올랐다. 미국 국립표준기술연구소(NIST)는 PQC 표준을 선정하며 전환 가이드라인을 제시했고, 한국을 비롯한 주요 국가도 알고리즘을 개발하며 흐름에 올라탄 상태다.

CBOM은 양자 저항 암호 체계를 갖추는 과정에서 SW 자산과 보안 준비 요소를 갖추는 데 도움을 줄 것으로 기대되고 있다. PQC 도입에 따른 영향 범위를 파악할 뿐만 아니라, 글로벌 표준 의무화 영역이 넓어지게 되면 규제(컴플라이언스) 차원에서 대응할 수 있는 도구로도 여겨지고 있다.

한편 한국은 이제 막 SBOM 개념을 이해하는 단계에 있다. 지난해 5월 국내 최초 SW 공급망 보안 가이드라인을 발간했지만 실제 보편화까지는 갈 길이 멀다는 평가가 나온다. 대기업이 아닌 이상 SBOM을 활발히 운영하기 어렵고, SBOM 도구(툴) 제공 업체들만 그 중요성을 강조하고 있는 실정이다. CBOM에 대한 논의가 국내에서는 사실상 전무한 이유인데, 차기 정부에서 강조하는 보안 및 안보 전략에 따라 판도가 뒤집힐 수 있을지 지켜볼 부분이다.