[디지털데일리 김보민기자] 소프트웨어(SW) 공급망 보안을 관리하는 플랫폼이 나왔다.

래브라도랩스(대표 김진석·이희조)는 SW 공급망 자동관리플랫폼 '래브라도 SCM'을 19일 공개했다. 래브라도 SCM은 SW 공급망에 관여하는 모든 기업의 SBOM 생성, 보내기, 받기, 상호 확인, 수정 보완 등 과정을 자동화하는 것이 특징이다.

현재 세계 주요국은 SW 공급망 보안 규제를 강화하기 시작했다. 대표적으로 미국은 2021년 SW 공급망 안전을 강화하기 위해 행정명령을 발표했고, 이후 공공기관에 들어가는 SW에 소프트웨어자재명세서(SBOM) 관리를 필수로 요구하고 있다.

한국은 올해 5월 'SW 공급망 보안 가이드라인'을 발표했다. 정부는 국내 기업이 SBOM을 유통 및 공유할 수 있는 관리 체계를 마련해, 사이버 안보를 강화하고 글로벌 규제에 대응할 수 있는 체계를 확보하는 데 주력하고 있다.

래브라도 SCM은 SW 협력사 사이에 SBOM 생성과 관리 어려움을 해결한다. 최종 제조사와 협력사는 래브라도 SCM을 통해 표준화된 SBOM을 교환한다. 기업은 래브라도 SCM에 제품별 SBOM을 올린 후 공유하기만 누르면 자동으로 협력사에 최신 SBOM이 전달된다. 기밀 노출 위협이 줄어들고, 버전 관리가 간편하다고 래브라도랩스는 설명했다.

제조사(허브 기업)와 SW 협력 기업을 연결할 수도 있다. 허브 기업은 래브라도 SCM에서 협력 기업 SBOM을 관리해, SW 보안성을 높여 각국 SBOM 규제 문제에 대응할 수 있다.

아울러 소스코드 프라이버시를 위해 해시 암호화 데이터를 사용해 SBOM을 생성할 수 있다. 사용자가 이해할 수 있는 SBOM 포맷(Cyclone-DX, SPDX, NIS-SBOM 등)과 더불어, 취약점 이슈 및 결과 점검도 지원한다.

래브라도 SCM은 SW 공급망 단계에서 기업 특성에 따라 사용 라이선스 범위를 구분해 제공받을 수 있다. 담당 인력이 부족한 영세 SW 협력사(공급사)의 경우, '소프트웨어구성분석(SCA)' 솔루션을 통해 오픈소스 취약점 및 라이선스 컴플라이언스 위험 제거를 할 수 있다.

김진석 래브라도랩스 대표는 "래브라도 SCM은 SW 유통 과정에서 취약점을 사전에 점검해 보완하는 것은 물론, SBOM 수작업 생성 및 교환에 따른 업무 비효율성을 개선하는 서비스"라고 말했다.