[디지털데일리 이종현기자] 음식물의 경우 쓰인 원재료가 어떤 것인지, 또 원산지는 어디인지 등을 안내하는 원산지표시제도가 시행되고 있다. 이처럼 원재료의 내역 등 정보를 담은 문서를 자재명세서(Bill of Materials, 이하 BOM)라고 부른다. 제조, 건축, 유통 등 대부분의 산업 영역에서 BOM을 활용하고 있다. 그리고 이런 움직임은 소프트웨어(SW) 업계로도 확장되는 추세다.

소프트웨어 자재명세서(SBOM)는 SW 제품의 구성요소를 세부적으로 알려주는 역할을 한다. SW 개발시 활용한 오픈소스는 무엇인지부터 라이브러리, 프레임워크, 모듈 등 SW를 구성하는 모든 요소와 그 출처 등에 대한 상세한 내용이 포함돼 있다.

이와 같은 SBOM이 확산되기 시작한 것은 최근이다. 2021년5월 미국 조 바이든 대통령이 사이버보안 강화를 위해 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화토록 하는 행정명령을 발표한 것이 계기가 됐다. 제로 트러스트(Zero Trust) 구현을 위한 일부 전략으로 SBOM의 중요성을 강조했다.

업계에서는 미국이 SBOM에 주목하기 시작한 것은 2020년 말 정보기술(IT) 모니터링 솔루션 ‘오리온’을 제공하는 솔라윈즈가 공격당한 것이 결정적인 계기가 됐으리라 추측한다.

솔라윈즈 사태 당시 공격자는 솔라윈즈 내부망에 침입해 오리온에 악성코드를 심었다. 이를 통해 오리온을 이용 중인 기업들은 버전 업데이트를 하는 것만으로 악성코드에 감염되는 ‘공급망 공격’이 이뤄졌다. 오리온을 사용 중인 기업·기관 1만8000여곳에 피해를 입었다. 개중에는 미국 핵안보국이나 재무부, 국토안보부, 에너지부, 국무부 등 주요 국가기관이 포함됐다. 마이크로소프트(MS)나 파이어아이 등 빅테크 및 사이버보안 기업도 공격받았다.

SBOM 채택은 미국뿐만 아니라 전 세계로 확상되는 추세다. 지난 4월 전 세계 사이버보안 콘퍼런스 RSAC2023서 만난 사이버보안 기업 태니엄의 닉 수르파타누(Nic Surpatanu) 최고제품책임자(CPO)는 “미국을 비롯해 유럽에서도 SBOM을 갖춰야 한다는 요구가 늘고 있다. 곧 전 세계의 표준이 될 것”이라고 전망했다.

이웃 국가인 일본 기업도 SBOM에 관심을 보이고 있다. 일본 경제산업성이 전담 태스크포스(TF)를 조직해 SBOM 사례를 수집·정리한 보고서를 발행하는 등 본격적인 준비에 나섰다. 태니엄 조사에 따르면 일본 기업 중 25%는 SBOM을 구축·운영 중이다. 30%는 현재 도입을 위한 조사·파악 단계다. 특히 건설 분야에서 빠르게 채택하고 있는 것으로 나타났다.

태니엄의 SBOM 관련 일본 설문조사. 공급망의 SBOM 현황을 조사·파악 중인 기업이 25%, 준비 중인 기업이 30%에 달하는 것으로 나타났다.

SBOM을 도입하려는 이유에 대한 답으로는 ‘자사가 보유하고 있는 구성품에 취약점이 있는지 파악하고 싶다’는 응답이 44%로 가장 많았다. ‘애플리케이션(앱)의 취약점을 파악하고 싶다(33%)’, 어떤 구성품을 자사가 갖고 있는지 파악하고 싶다(31%)‘, ’앱의 의존관계를 파악하고 싶다(31%)‘ 등이 뒤를 이었다.

태니엄은 “바이든 대통령의 행정명령으로 미국에서 SBOM 도입이 의무화되자 일본에서도 이를 검토하는 기업이 늘고 있다. 자사뿐만 아니라 외주업체 등까지 조사·파악하는 중인데, 향후 대상 범위를 공급망까지 확대할 것으로 보인다”고 전망했다.

한국도 SBOM 도입을 예고했다. 과학기술정보통신부(이하 과기정통부)는 제로 트러스트·공급망 보안 포럼을 발족시켰다. 이중 SBOM은 공급망 보안을 위한 핵심 요소로 작용한다. 지난 4월 한미 정상이 ‘전략적 사이버안보 협력 프레임워크’를 발표하는 등 사이버보안을 주요 정책 과제로 삼는 만큼 논의에 속도가 붙을 것으로 예상된다.