KISIA·고려대 컨소시엄, 국제 기준 충족하는 SBOM 자동생성 도구 개발 및 실증 완료

KISIA 컨소, SBOM 자동화 도구 개발..실증도 성공적

KISIA 컨소, SBOM 자동화 도구 개발..실증도 성공적

 

• SBOM 자동화 도구 개발 배경
  • SBOM(Software Bill of Materials)은 소프트웨어에 포함된 모든 구성요소(오픈소스, 라이브러리, 의존성 등)를 명시한 명세서
  • 소프트웨어 공급망의 보안 강화를 위해 미국(NTIA), 유럽 등 주요국에서 정책적으로 도입 중
  • SBOM은 취약점 식별 및 무결성 검증을 통해 공급망 위협 대응에 핵심적인 역할을 수행
• KISIA 및 고려대 컨소시엄의 R&D 결과
  • 한국정보보호산업협회(KISIA)와 고려대 소프트웨어보안연구소(CSSA) 주도
  • KAIST, 강원대와 함께 과기정통부 및 IITP가 지원하는 ‘SBOM 자동생성 및 무결성 검증기술 개발’ 과제를 수행
  • 2022년부터 진행된 공동연구를 통해 국제표준에 부합하는 SBOM 자동화 도구 개발
• 실증 적용 결과
  • 미국 NTIA(National Telecommunications and Information Administration) 기준의 SBOM 도구 9가지 기능 유형 충족
  • NTIA가 요구한 SBOM 명세서의 7가지 최소 구성요소 완전 만족
  • 실증에는 국내 정보보호 기업들이 참여하여 자체 솔루션에 SBOM 자동화 도구를 적용
  • 참여 기업들은 SW 구성 투명성 향상, 오픈소스 관리 효율성 증대 효과를 체감
• SBOM 자동화 도구의 의미와 활용 방향
  • 국내 정보보호 업계에 SBOM 활용 인식 제고
  • SW 공급망 보안 위협(예: Log4Shell, SolarWinds) 대응을 위한 사전 예방적 수단
  • 향후 SBOM은 ISMS-P, 공공기관 보안 인증에서도 활용 가능성 확대
  • SBOM 도구의 무결성 검증 기술도 함께 개발되어 위변조 탐지 및 리스크 완화 가능
• 결론
  • SBOM 자동생성 도구는 국내 SW 보안의 투명성과 무결성을 확보하는 데 핵심 인프라로 부상
  • KISIA는 실증을 계기로 SBOM 도구의 민간 확산 및 정책 연계 기반 마련
  • 향후 정보보호 기업 및 공공기관 대상 교육·도입 확대 필요