[디지털데일리 이안나기자] 기업이 장기적 성장을 위해 고려해야하는 건 ‘급하지 않지만 중요한 일’이다. 당장 성과를 내는 데 직접적 영향을 미치진 않지만, 중장기적 계획을 세울 수 있고 정말 필요한 순간에 경쟁력으로 작용할 수 있어서다. 소프트웨어(SW) 기업들에 급하지 않지만 중요한 일 중 하나는 ‘소프트웨어 자재명세서(SBOM)’다.

디지털전환이 가속화되면서 소프트웨어(SW) 중요성은 점차 높아지고 있다. 이와 동시에 주목받고 있는 건 SW공급망 보안 대책 일환인 SBOM이다. SBOM은 소프트웨어 구성요소를 식별할 수 있는 일종의 명세서를 의미한다. SW 구성요소 간 관계, 오픈소스 및 외부 서비스 융합 방식 등을 보여주기 때문에 SW가 사이버 공격을 받거나 오류가 발생했을 때 SBOM을 통해 빠른 파악이 가능하다.

과학기술정보통신부는 정부와 공공기관, 기업들이 자체적인 SW 공급망 보안 관리역량을 갖출 수 있도록 가이드라인을 발간했다. 로그4제이(log4j) 같은 오픈소스에서 해킹 취약점이 발견되는 등 여러 사건이 명분이 됐다. 미국은 정부에 공급하는 SW의 경우 SBOM 제출을 요구하고 있고 유럽연합도 SBOM 제도화 막바지에 있다.

SBOM 적용은 전 세계적 흐름이지만 이를 바라보는 국내 SW기업들 분위기는 각양각색이다. 삼성·현대차그룹 같은 대기업들은 이미 SW 공급망 투명성을 위해 체계적 관리를 하고 있지만, 중소 SW기업들은 SBOM 용어조차 생소한 경우가 많다. 다수 기업은 SBOM이 제도화됐을 때 회사에 미치는 영향이 무엇인지부터 살펴봐야 하는 상황이다.

SW기업들에 당장 SBOM은 부담으로 작용할 수밖에 없다. SW 개발 과정에서 공급망 보안 관리체계 마련이라는 과제가 추가된 것이고 이는 결국 비용 증가와 개발기간 장기화로 이어질 수 있기 때문이다. 특히 오픈소스가 업데이트될 때마다 SBOM에도 계속 반영해야 한다는 점을 예상하고, ‘SBOM 관리 업체’들이 생겨나 이들만 수혜를 입는 것 아니냐는 지적도 나온다.

안 그래도 어려운 국내 정보기술(IT) 환경에서 SBOM으로 인한 부담이 추가되는 건 사실이지만, SBOM은 언젠가 준비해야 하는 피할 수 없는 숙제와 같다. 미국·유럽으로 SW를 직접 수출하는 기업뿐 아니라, 해외수출하는 제조업에 SW를 납품하는 기업도 모두 해당한다. 가전·자동차·스마트폰 등 SW가 적용되는 기기가 많아지는 만큼 SBOM은 외면할 수 없는 문제다.

특히 인공지능(AI) 시대 오픈소스 활용은 더욱 높아지고 있고 라이선스 분쟁과 보안 취약성 단점을 보완하기 위한 시작은 SBOM이 된다. 즉 SBOM은 그간 무분별하게 사용해온 오픈소스를 체계적으로 활용할 수 있는 문화가 조성되고, 중소·중견 SW기업들이 보안 강화와 라이선스 분쟁에 휘말리지 않도록 실질적인 경쟁력을 갖출 수 있는 방안이 되는 셈이다.

물론 SBOM은 구성요소를 한데 모은 라이브러리 개념일 뿐, 보안 취약점이 발견됐을 때 신속한 처리 등을 하는 게 본질이고 경쟁력이 된다. 따라서 정부에선 SW기업들에 충분한 시간을 줘야 할 필요가 있다. 촉박한 시간에 부랴부랴 준비하기보다 제도에 대한 충분한 이해와 분석을 기반으로 마련한 SBOM이 추후 기업 경쟁력으로 이어질 수 있다.