e비즈*솔루션

소프트웨어 공급망 보안, SBOM 왜 중요할까…28일 웨비나 개최

김보민 기자
보[ⓒ픽사베이]
보[ⓒ픽사베이]

[디지털데일리 김보민기자] 바야흐로 소프트웨어 시대다. 디지털 전환이 가속화되면서, 소프트웨어는 우리 일상과 업무 곳곳에 빼놓을 수 없는 핵심축으로 자리매김하기 시작했다.

그러나 소프트웨어 종류는 물론, 적용 방식 또한 다양해지면서 그에 따른 위협 또한 고도화되고 있다. 특히 사이버 위협에 대응할 난도가 높아지면서 공급망 차원에서 소프트웨어를 관리해야 한다는 목소리가 커지고 있다. 올해 최대 화두로 '소프트웨어 자재명세서(SBOM)·Software Bill of Materials)'이 떠오른 이유다.

SBOM은 제조업에서 사용하는 부품표(BOM) 개념을 착안한 용어로, 소프트웨어 구성요소를 식별할 수 있는 일종의 명세서다. 소프트웨어 구성요소 간 관계, 오픈소스 및 외부 서비스 융합 방식 등을 모두 포괄해 보여주기 때문에 사이버 공격이 발생했을 때 빠른 대응이 가능하다. 전산 장애나 오류가 발생했을 때도 SBOM을 기반으로 원인을 찾고 그에 맞는 맞춤형 복구 방안을 모색하기 용이하다.

현재 주요국은 SBOM을 공급망 보안 기법으로 활용하고 있다. 미국은 2021년 연방정부와 사업 계약을 맺은 기업을 대상으로 SBOM 제출을 의무화하도록 하는 행정명령을 내렸다. 이후 유럽연합(EU)과 같은 핵심 지역에서도 SBOM 논의가 활발해지고 있다.

한국도 속도를 올리고 있다. 정부는 3월 ICT 공급망 보안 가이드라인을 공개한다. 여기에는 SBOM 개념 및 활용법, 관련 표준 등의 내용이 담길 전망이다. 국내의 경우 일부 대기업을 제외하고는 SBOM 개념이 낯설게 여겨지고 있어, 이번 가이드라인이 패러다임을 전환할 수 있을지 관심이 주목되고 있다.

이러한 분위기 속 SBOM 현주소와 미래 방향을 살펴보는 웨비나가 열린다. 디지털데일리는 28일 <DD튜브> 플랫폼을 통해 'SW 산업에서의 필수조건 SBOM: 다이내믹(Dynamic) SBOM으로 준비하라'를 주제로 온라인 세미나를 개최한다.

이번 웨비나는 한근희 고려대 교수의 '공급망 보안 강화를 위한 SBOM의 필요성 및 발전방향' 발표를 시작으로 문을 연다. 한근희 교수는 고려대학교 정보보호대학원에서 활약하고 있는 인물로 앞서 코어시큐리티연구소 부사장, 안철수연구소·드림시큐리티 부사장, 행정안전부 국가정보자원관리원 사이버안전과장 등을 역임했다.

김병극 KMS테크놀로지 기술이사의 '블랙 덕(Black Duck)을 활용한 국제 표준 규격의 SBOM 리포팅' 발표와, 윤성민 KMS테크놀로지 PM의 '변화에 대응하는 Dynamic SBOM 생성 및 관리 방법' 발표도 준비돼 있다. 김병극 기술이사는 KMS테크놀로지에서 기술 지원 및 오픈소스 거버넌스 컨설팅 업무를 맡고 있다. 윤성민 PM은 오픈소스 거버넌스 관리 포털 구축 및 컨설팅 업무를 담당하고 있다.

국제 표준은 물론 새로운 국내 규격에 맞춰 소프트웨어를 관리하고 싶은 기업이라면 누구나 참여가 가능하다. 발표자들은 사용자 맞춤형으로 SBOM을 생성하고 관리할 수 있는 방법 또한 소개할 예정이다.

[ⓒ 디지털데일리 DD튜브]
[ⓒ 디지털데일리 DD튜브]

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널