[디지털데일리 이안나기자] 클라우드 기술 발전으로 국내 기업들의 서비스형소프트웨어(SaaS) 시장 진출이 가속화되고 있다. 그간 국내 SaaS 시장 성장 속도가 더뎠지만, 국내 기업들이 관련 시장에 뛰어드는 점은 소프트웨어 산업 새 도약을 예고하는 유의미한 변화다.

이 과정에서 오픈소스 소프트웨어가 핵심 역할을 한다. 이미 검증된 코드를 활용하며 개발 시간 단축과 비용 절감이 가능하고, 소스 코드가 공개돼 있으니 필요한 부분만 선택해 사용하거나 수정할 수 있다. 그러나 이러한 추세에 맞물려 새로운 과제가 떠올랐다. 바로 소프트웨어 자재명세서(SBOM) 준비다.

SBOM은 소프트웨어 구성 요소를 상세히 기록한 문서로, 오픈소스 사용 현황을 파악하고 관리하는 데 필수다. 미국 연방정부와 유럽연합은 이미 SBOM 관련 정책을 추진 중이다. 국내서도 금융권이 가장 먼저 움직여 작년과 올해 다수 금융 기관에 SBOM 관련 검사를 진행했고, 일부 기업은 이미 제재를 받았다.

삼성전자나 현대자동차 같은 대기업들은 이미 SBOM 준비에 착수해 대응책을 마련하고 있다. 글로벌 시장에서 경쟁력 유지와 규제 대응을 위해 선제적으로 움직이고 있는 셈이다. 반면 일부 중소기업들은 SBOM이 무엇인지조차 알지 못하는 실정이다. 이는 향후 소프트웨어(SW) 산업 양극화를 초래할 수 있는 심각한 문제다.

국내서도 SBOM 논의가 활발하다. 국정원은 SBOM을 포함한 SW 공급망보안 정책을 2027년까지 국가·공공기관 대상으로 의무화할 계획이다. 과학기술정보통신부·디지털플랫폼정부위원회와 공동으로 지난 5월 ‘SW공급망 보안 가이드라인’을 공개했고, 전문가들은 연말까지 로드맵을 수립할 계획이다.

2027년이라는 시간이 충분해 보일 수 있지만 실제론 그렇지 않다. SBOM 준비는 단순히 문서를 작성하는 것에 그치지 않고, 설계 단계서부터 오픈소스를 제대로 이해하고 관리해야 한다. 충분한 검증 없이 평판만 보고 오픈소스를 선정했다간 추후 운영 중 심각한 장애가 발생할 수도 있다.

정보통신산업진흥원(NIPA) 통계에 의하면 국내 일반기업 중 60%만이 오픈소스를 사용하고 있다고 답했는데, 실제론 기업 홈페이지조차 오픈소스가 사용된다. 오픈소스를 사용하고 있음에도 이를 인지하지 못하고 있다는 의미다. SBOM 준비 첫 단계는 기업들 인식의 전환이다.

정부는 로드맵 수립과 함께 SBOM 준비를 시작해야 한다는 사실을 적극적으로 알릴 필요가 있다. 중소기업을 위한 지원 프로그램과 가이드라인도 함께 강조해야 한다. 기업들 역시 2년여 시간을 먼 미래라고 생각해선 안 된다. 모든 구성원이 오픈소스 사용 중요성을 인식해 라이선스 교육을 받아야 한다. 분야별 현황을 파악하고 기술적 준비와 함께 프로젝트 및 운영 계획을 수립하려면 당장 시작해도 빠르지 않다.

SaaS 시대 SBOM 준비는 더 이상 선택 아닌 필수다. 국내 SW 산업 경쟁력 강화와 안정성 확보를 위해서 SBOM은 필수 과제라는 점을 인지해야 한다.