[디지털데일리 이종현기자] 농수산물의 경우 원산지 표시를 법적으로 의무화하고 있다. 일부 음식물의 경우 세세한 영양성분까지 표시하도록 하고 있다. 이런 내용은 제품 생산에 쓰인 원재료는 무엇인지, 그 원재료는 어디서 구매했는지 등의 내용이 담긴 자재명세서(Bill of Material, 이하 BOM)를 기반으로 한다.

이와 같은 BOM은 요식업을 비롯해 유통, 제조, 건설 등 거의 모든 산업에서 중요한 지표로 활용되고 있다. 안전하게 제품이 만들어지는지에 대한 ‘증명서’이자 ‘가이드라인’ 역할도 수행한다. 그리고 최근에는 소프트웨어(SW) 분야에도 BOM 도입이 필요하다는 목소리가 커지고 있다. 소프트웨어 자재명세서(SBOM)다.

SBOM에 대한 요구가 커진 것은 미국에서 발생한 대형 보안사고가 계기다. 정보기술(IT) 서비스를 통합 관리하는 기업의 SW가 해킹돼 이를 통로로 1만8000여곳이 연쇄적으로 피해를 입는 ‘솔라윈즈 사태’가 계기가 됐다. 솔라윈즈 내부망에 침입해 정상 SW인 것처럼 속여 악성코드를 유포하는 ‘공급망 공격’ 사례인데, 미국 핵안보국이나 재무부, 국토안보부, 에너지부, 국무부 등 주요 국가기관과 마이크로소프트(MS) 등이 피해를 입었다.

당선인 신분이던 조 바이든 미국 대통령은 유사한 사고를 막기 위한 사이버보안 강화를 주요 공약으로 내세웠다. 그리고 임기 5개월차인 2021년5월 연방정부와 사업계약을 맺은 기업은 SBOM 제출을 의무화토록 하는 행정명령을 발표했다.

SBOM 논의에 더 속도를 붙이게 된 것은 2021년 연말 발생한 log4j 취약점 사태다. 자바(JAVA) 기반의 서버와 애플리케이션(앱) 대부분에서 쓰이는 오픈소스 라이브러리인 log4j에서 치명적인 취약점이 발견된 건으로, ‘컴퓨터 역사상 최악의 보안사고’라고 불린다.

log4j 사태가 특히 위협적인 이유는 광범위한 피해 범위 및 높은 위험성에도 불구하고 어떤 SW가 문제가 되는 log4j를 사용했는지 파악하지 못했다는 점이다. 위험한 발암물질이 발견됐음에도 BOM이 없어서 어떤 제품에 발암물질이 사용됐는지 알 수 없는 것과 같은 상황이다. 이에 ‘철저히 원산지 표시를 하자’는 차원에서 SBOM을 의무화토록 하는 내용의 제도 마련이 전 세계 각국에서 진행되고 있다.

국내에서도 SBOM 제도 마련에 속도를 내고 있다. 내년부터 SOBM 관리체계를 만들어 실증에 나선다는 계획이다. 국내 사이버보안 기업 파수의 자회사 스패로우 등이 SW 개발 단계에서부터 보안을 염두에 두는 ‘시큐리티 바이 디자인(Security by Design)’ 관련 기술을 개발해 제공 중이다.

개발 단계에서가 아닌, 이미 서비스되고 있는 SW를 위한 기술도 등장했다. 글로벌 사이버보안 기업 태니엄이 제공하는 ‘런타임 SBOM’이다. 실행되고 있는 SW에 문제가 되는 요소가 없는지 검증하는 방식이다. 비유하자면 완성된 음식물에서 영양성분을 추출하는 방식인데, 태니엄은 log4j 사태에서 해당 기술을 기반으로 큰 주목을 받은 바 있다.

태니엄 관계자는 개발 단계에서의 SBOM과 실행 단계에서의 SBOM 양쪽 모두를 갖춰야 한다고 강조한다. 전자의 경우 안전한 제품 설계를 위해, 후자의 경우 즉각적인 파악 및 대응을 위해 필요하다. 또 SW의 경우 항상 실행 상태인 것이 아닌 만큼 2중, 3중의 안전망이 필요하다고도 피력했다.

이 관계자는 자사 기술과 관련해 “집안에 박스가 잔뜩 쌓여 있는데, 이중 어떤 박스의 물품이 안전한지 확인하려고 배달한 사람에게 물어보는 것은 비효율적이다. 태니엄은 수천에서 수십만에 이르는, 수많은 박스에 대해 실시간으로 검색하는 방법을 취한다”고 소개했다.