• IS-144

미국 SBOM(Software Bill of Materials) 정책 분석 및 시사점

  • 김항규SW기반정책·인재연구실 선임연구원
날짜2022.12.16
조회수7849
글자크기
    • 미국 바이든 정부는 SW공급망 보안 강화를 위해 연방정부에서 조달한 SW제품에 대해 SW구성요소 정보를 기술한 문서, SBOM(Software Bill of Materials)을 제출하도록 요구하는 행정명령을 2021년 5월에 발표했다. 솔라윈즈, Kaseya, Log4J 등 SW공급망을 통한 보안 위협 사례가 증가함에 따라 연방정부 차원에서 이를 관리하기 시작한 것을 의미한다. 행정명령에 기반해 백악관과 OMB(Office of Management and Budget)를 중심으로 범부처적인 추진체계를 구축하고 민관협력을 추진하였다. 상무부 산하 NTIA(National Telecommuni- cations and Information Administration)와 NIST(National Institute of Standards and Technology)는 각각 SBOM의 개념 정립 및 실증과 표준화를 주도해 SBOM 정책 구현을 위한 이론적 검증과 기틀 마련을 담당했다. 국토안보부 산하 CISA(Cybersecurity & Infrastructure Security Agency)는 보안 측면에서의 내용 검토와 함께 SBOM 인식 제고 및 의견수렴을 위한 온라인 세션을 운영하였다. 미국 정부는 비영리 재단 주도로 정의된 SBOM 국제표준 포맷과 선도 기업들의 SBOM 유사 체계 모범사례를 바탕으로 정책을 수립하고 관련 분야의 민간전문가 의견을 청취하는 민관협력 체계도 병행하였다. 미국의 SBOM 정책은 개념 정립부터 제도화까지 단계적인 추진을 통해 민간 확산을 유도하고 있다. 우선 SBOM 범주·효과를 정의하고 준수 기준이 되는 최소요소(Minimum Elements)를 발표하였으며, 의료·에너지 등 실제 산업에서의 실증을 수행하였다. 표준화된 SBOM 활용과 정보 공유를 위해 SBOM 생성, SW공급망 관리, 산업별 보안 강화 등에 대한 가이드를 각각 배포하였다. SW공급망 보안 강화를 위해 행정명령으로 조달 규정 개정을 담당 부처에 지시하였고, 의료기기 등 개별적인 법안 발의를 통해 SBOM 확산을 위한 법적 기반을 마련하였다. 미국에서 추진한 SBOM 정책은 공공·민간에서의 안정적인 도입을 위해 단계적으로 추진되어 SW수출 대상국의 제재로서만이 아닌 SW기업의 경쟁력 제고를 위한 방향성으로 인식할 필요가 있다. 이니셔티브 발족과 실증 수행을 통해 SBOM 정착을 위한 기반을 마련하고, 가이드로 절차·포맷의 표준화를 진행하였다. 점진적인 민간 확산 유도를 위해 공공영역에서의 법제화를 추진함으로써 제도적 기반을 마련하고 있다. 국내에서도 정부와 기업이 대응책 마련과 함께 SBOM 도입을 신중하게 검토해야 할 시점이다.
  • Executive Summary
    • In May 2021, the Biden government of the United States issued an executive order requiring the submission of SBOM (Software Bill of Materials), a document describing software component information, for software products procured from the federal government in order to enhance software supply chain security. As the number of security threats through software supply chain such as SolarWinds, Kaseya, and Log4J increases, it means that the federal government has started to manage them. Based on the executive order, a government-wide implementation system was established led by the White House and the Office of Management and Budget (OMB) with public-private cooperation. National Telecommunications and Information Administration (NTIA) and National Institute of Standards and Technology (NIST) under Department of Commerce took the lead in framing SBOM with executing Proof-of-Concept (PoC), and providing the standard of SBOM, respectively, to establish theoretical verification and the foundation for the implementation of SBOM policies. Cybersecurity & Infrastructure Security Agency (CISA) under the Department of Homeland Security reviewed the content in terms of security, and operated virtual workshops to raise awareness of SBOM and collect opinions. A public-private cooperation system was also implemented to establish policies based on SBOM international standard formats defined by non-profit foundations and best practices for SBOM-like systems of global IT companies and to listen to the opinions of private experts in related fields. The US SBOM policy is inducing the spread of SBOM to the private sector through a step-by-step process from concept establishment to institutionalization. First, SBOM scope and effects were defined, and the Minimum Elements, the baselines to comply with, were announced, with PoC conducted in actual industries such as medical and energy. Guides on SBOM generation, software supply chain management, and industry-specific security enhancement were distributed for standardized SBOM utilization and information sharing. In order to strengthen software supply chain security, departments in charge was instructed to revise the procurement regulations by the executive order, and the legal basis for the spread of SBOM was established through introduction of individual bills such as medical devices. The SBOM policy promoted in the United States needs to be recognized as a direction for enhancing the competitiveness of software companies, not only as a sanction of the SW export destination country, as it is promoted in stages for stable introduction in the public and private sectors. The foundation for SBOM settlement was prepared through the initiation of an initiative and PoC, and the standardization of procedures and formats was carried out as a guide. In order to induce a gradual spread to the private sector, the institutional foundation is being laid by promoting legislation in the public domain. In Korea, it is time for the government and companies to carefully review the application of SBOM along with the preparation of countermeasures.