디지털 전환이 가속화됨에 따라 전 분야에서의 SW융합이 촉진되고 SW재사용에 기반한 조립식 개발이 일상화되고 있다. 오픈소스SW, 상용SW 등 제3자가 개발한 SW를 활용함으로써 신기술 도입이 빨라지고 SW개발 비용이 절감되는 혁신을 가져옴과 동시에 내재된 라이선스·보안·품질 위협도 함께 동반되고 있다. 이에 따라 SW구성요소 수준의 관리를 위해 SW공급망 투명성 확보 필요성이 제기되었고, 방안 중 하나로 SBOM(Software Bill of Materials)에 주목하기 시작했다.
SBOM은 SW제품을 이루는 SW구성요소의 세부 정보와 의존관계를 기술하는 SW구성명세서이다. 제품에 포함되어 있는 SW구성요소의 구성요소명, 공급자명, 버전 등 관련 정보를 기술해 정확한 식별이 가능하게 한다. SW공급망에 대한 공급자와 수요자의 이해도를 향상시켜 구성요소 수준에서 발생할 수 있는 위협에 대해 기민한 대응을 할 수 있게 한다. 이를 위해서는 SW구성요소의 정확한 식별이 반드시 필요하며, 관련 정보를 가장 정확하고 풍부하게 가지고 있는 SW공급자가 SBOM을 생성하고 공급망에 따라 재조합 과정을 거쳐 SW수요자에게 제공되는 것이 바람직하다. SBOM으로 위협에 빠르게 대응할 수 있는 이유는, 기술된 식별 정보가 해당 SW구성요소와 관련된 라이선스, 보안 취약점, 소스코드 저장소 등 외부 정보와 연결되기 때문이다. 이러한 연결성을 위해서는 공신력 있는(authoratative) 식별자가 사용되어야 한다. 이와 같이 SBOM은 SW제품의 구성요소를 외부 정보와 연결하는 데이터 계층을 형성해 투명한 SW공급망 관리를 가능하게 한다.
SW재사용이 일상화됨에 따라 SW공급망을 통한 위협이 크게 증가하고 있다. 솔라윈즈(SolarWinds), Log4j 등 공급망 보안 위협 사례가 늘어나 사회 기반시설과 공공 영역에 영향을 미치면서 각국 정부에서는 SBOM 도입을 추진하거나 제도화 방안을 검토하고 있다.
미국은 의료, 에너지 등에서의 실증을 거치면서 SBOM 개념과 효과성을 검증하였고, 2021년 5월 국가 보안 강화 행정명령을 발표해 SBOM 제도화를 체계적으로 추진하였다. 상무부는 SBOM 생성활용의 기준점이 되는 SBOM 최소요소를 발표하고 이를 기반한 SW개발 및 공급망 보안 관리 가이드를 배포하였다. 통신 서비스, 의료기기, 오픈소스 분야에 대해 구체화된 SBOM 관련 법안이 각각 발의되어 제도화에 박차를 가하고 있는 중이다.
EU는 안정적인 SW공급망 관리를 목적으로 공공 서비스에서의 의존도가 높은 오픈소스 프로젝트에 대해 목록을 생성·관리하는 EU-FOSSA, FOSSPES 프로젝트를 추진하였다. 한편 보안 측면에서는 의료기기, IoT 구매·관리 과정에 SBOM 활용을 권고하는 가이드를 발간하고, 클라우드 서비스 제공자가 취득해야 하는 보안 인증 체계에 SBOM 관리 의무를 부여하는 시도가 나타나고 있다. 2022년에 공개된 사이버복원력 법안에는 유럽 시장에 출시되는 디지털 제품에 대해 SBOM을 제출하도록 해 주목을 받고 있다.
일본은 경제산업성을 중심으로 SBOM 제도화에 대한 실증을 추진하였고, 이를 ICT 보안에 적용하는 방안을 검토하고 있다. 경제산업성은 소프트웨어TF라는 전담조직을 구성하고 제도화 방안 검토를 위해 SBOM 실증을 수행하였고, 이를 의료·자동차·SW 분야에 확장시키는 계획을 수립하였다. 또한 일본 글로벌 기업의 SBOM 활용 사례를 담은 오픈소스 우수사례집을 발간해 SBOM 확산을 촉진하고자 하였다. 총무성은 ICT 사이버보안 종합대책 2022에서 SBOM 제도화 방안 검토의 필요성을 제기해 SBOM을 통한 ICT 보안 강화를 시사하였다.
영국과 중국도 SW공급망 관리를 위해 SBOM에 주시하고 대응 방안을 마련하고 있다. 영국은 인터넷에 연결된 기기에 대해 SBOM으로 취약점 개선 여부를 공개하도록 하는 가이드를 배포하는 한편, SBOM과 기능적으로 유사한 내용을 담은 보안관리 기준을 통신보안 행동강령에 적용해 ICT 공급망 보안을 강화하고자 하였다. 중국은 SW공급망 보안 강화를 위해 SBOM을 사용하도록 하는 정보보안기술 SW공급망 보안 요구 표준을 발표하고, SBOM 관련 백서 및 가이드를 공개해 국제 동향을 주시함과 함께 자국 내의 SBOM 활용을 확산시키고자 하였다
SW공급망 강화를 목적으로 SBOM 제도화를 향한 국제적 기조에 맞추어 국내에 서도 정책적인 준비가 요구되며, 이를 위해 최소기준과 추진체계 방안이 마련되어야 한다. SBOM의 효과적인 활용을 위해 항목, 형식, 절차적인 측면에서 기준점을 제시해 산업과 시장에서 발생할 수 있는 SBOM 도입 장애요인을 최소화해야 한다. 장기적인 정책 추진을 위해서는 기준의 진화와 정책의 방향성 설정을 담당하는 정책협의체와 함께 표준화·실증·보안·제도화 등의 역할을 수행하는 조직이 포함된 체계를 구성할 필요가 있다. 본고에서 제안된 방안은 선도적으로 추진하고 있는 해외 사례에 기반해 정리·취합된 것으로, 차후 전문가 검토와 현장에서의 실증을 통해 국내의 산업과 제도를 고려한 개선이 뒤따라야 한다.
AI, 블록체인, 클라우드 등 신기술 분야를 중심으로 SW융합이 가속화되어 SW공급망을 통한 위협의 빈도와 영향이 증가함에 따라, 기민한 대응을 위한 방안 중 하나로 SBOM에 관심이 높아지고 있다. 주요국 정부는 공공서비스의 안전 확보를 위해, 글로벌 기업들은 제품·서비스의 경쟁력 강화를 위해 SBOM을 기존 체계에 적용하거나 관련 방안을 적극 검토하고 있다. SBOM의 실질적 효용성, 통용 가능한 산업적 기준의 존재 여부 등에 대한 의문과, SW제품의 구성요소 정보 공개를 기피하는 경향 등 SBOM 활용 확산을 위해 넘어야 할 산이 많다. 주요 분야별 실증을 통해 SBOM의 도입 효과를 입증하고 관련 주요 정보를 공유함으로써 SBOM에 대한 사회적 인식을 개선할 필요가 있다. 기준점 마련, 인프라·도구 개발 등 SBOM 활용을 위한 기반 조성도 수반되어야 한다. 이를 통해 SBOM 활용에 장애가 되는 요인을 제거해 나가야 할 것이다. 안전한 사회를 만들고 산업의 경쟁력을 확보하기 위해 전세계가 SBOM을 사용하고자 하는 시점에 국내에서도 늦지 않은 준비와 대응이 요구된다.
