[디지털데일리 김보민기자] 디지털 전환이 빨라지면서 오픈소스에 대한 관심이 뜨거워지고 있다. 특히 인공지능(AI)이 화두로 떠오른 이후에는, 상용 소프트웨어(SW)부터 외주 개발 오픈소스까지 여러 재료를 혼합해 활용하는 움직임이 두드러지고 있다.

오픈소스 유입 경로가 다양해지면서, 보안 위협이 발생할 수 있는 구간 또한 늘어나고 있다. 주요국이 'SW 공급망 보안'을 주제로 소프트웨어자재명세서(SBOM) 제출을 의무화하기 시작한 이유다.

그러나 SBOM 표준이 다양한 데다 생성 방식도 복잡해 어려움을 겪는 기업이 다수다. 김광섭 OSBC 연구소장(전무)은 24일 서울 양재 엘타워에서 열린 '오픈테크넷 서밋 2024' 발표를 통해 "오픈소스 가시화가 어려워진 만큼, 통합 기능을 갖추는 것이 중요하다"고 강조했다.

SBOM은 오픈소스를 활용할 때 유입될 수 있는 보안 및 라이선스 문제를 관리하는 명세서를 뜻한다. SBOM에는 오픈소스 요소(컴포넌트), 취약점, 라이선스, 출시 일자, 공급자, 라이브러리 등 SW 공급망에 포함된 세부 내용이 담긴다. 이를 통해 소스코드 버그, 오픈소스 관계성 및 컨테이너, 출처, 바이너리 분석 등 관리가 가능해진다.

현재 미국은 행정명령(14028)뿐만 아니라 보안 소프트웨어 개발 프레임워크, 의료기기 특화 식품의약국(FDA) 요구사항 등을 통해 SBOM 제도화에 속도를 올리고 있다. 유럽은 사이버복원력법을 선보였고, 일본은 SBOM 구현 가이드를 공개했다. 한국 또한 SW 공급망 보안 가이드라인을 통해 SBOM 개념을 정립하는 단계를 마쳤다.

이러한 움직임에도 기업 입장에서 SBOM은 익숙하면서도 낯선 개념이다. 김 연구소장은 "오픈소스 검증도구가 많이 있지만 이를 사용하기는 쉽지 않다"며 "대부분 영어로 되어 있고, 용어가 쉽게 와닿지 않는다고 이야기한다"고 말했다. 이어 "회사마다 다른 워크플로우를 가지고 있고, 조직을 운영하는 방식도 달라 맞춤형 기능을 제공 받기를 원하기도 한다"고 말했다.

현재 SBOM을 대표하는 표준으로는 SPDX, 사이클론DX(CycloneDX), SWID가 있다. 김 연구소장은 "SBOM 표준이 하나가 아닐뿐더러, 업체가 제공하는 SBOM은 우리가 생각하는 표준이 아닐 확률이 높다"고 지적했다. 이어 "대형 프로젝트는 하위(서브) 프로젝트가 여러 개일 수밖에 없어, SBOM을 통체로 모아 통합하는 기능이 필요하다"고 말했다.

오픈소스 관리와 관련 프로세스를 한눈에 보기 쉽게 구성하고, 불필요한 과정을 단순화하고 관리 프로세스를 자동화하는 작업이 필요하다는 취지다. 아울러 자산과 인력 등 회사 시스템과 이를 연동한 뒤, 새롭게 발생하는 오픈소스 이슈에 빠른 대응도 필요할 것으로 봤다.

OSBC는 SW 공급망 관리를 위한 SBOM 통합 관리 플랫폼 'OSIMS'를 운영하고 있다. 김 연구소장은 "SW 공급망 관리를 위한 유연하고 확장 가능한 플랫폼"이라고 소개했다.

OSIMS는 개별 SW 구성 요소를 분석하고 식별 및 관리하는 일반적인 소프트웨어 구성요소 분석(SCA) 시스템과 달리, 조직의 공급망 환경과 비즈니스 모델에 적합한 정책을 관리하도록 지원하는 것이 특징이다. 미국 통신정보관리청(NTIA)에서 권장하고 있는 SBOM 데이터 필드 관리와 스캔 분석 도구도 지원한다. SBOM 자동 생성과 관리가 가능하다는 의미다.

OSIMS의 특징 중 하나는 '레트로 스캔'이다. 레트로 스캔은 SW 구성요소가 가지고 있는 메타 데이터를 기반으로, 반복적 스캔 없이 취약점 정보를 실시간 확인할 수 있는 기능이다.

김 연구소장은 "다시 스캔하지 않고 이미 갖고 있는 정보만 가지고 현재 발생한 CVE에 따른 조치에 대한 검색이 가능하다"며 "필요에 따라 이메일, 메신저 등 알림을 주며 대시보드에서도 사용자에게 알림을 줄 수 있다"고 설명했다.

조직 데브옵스(DevOps) 환경에 따라 선택적 워크플로우 적용도 가능하다. 조직 내 퍼스트 파티 SBOM 관리를 위한 워크플로우에 더불어, 서드파티 SBOM 관리를 위한 워크플로우도 지원한다. 국제 표준화된 SBOM과 맞춤 정의된 SBOM 포맷도 관리할 수 있다. 다양한 리파지토리와도 연동해 오픈소스 반입 워크플로우 관리도 가능하다.

한편 OSBC는 상용 SCA 도구(FOSSID·Clarity·Snyk 등) 뿐만 아니라, 향후 오픈소스 정적 분석 도구도 지원할 예정이다.