SBOM 실증 결과와 도입 애로사항 분석

"자체 구축 어렵다" SBOM도구 실증서 한목소리

"자체 구축 어렵다" SBOM도구 실증서 한목소리

 

• SBOM 개요 및 필요성
  • SBOM(Software Bill of Materials)은 소프트웨어에 포함된 구성 요소 및 의존성 목록을 기록한 문서로 공급망 보안의 핵심 수단으로 부상
  • 미국, 유럽연합, 일본 등은 SBOM 의무화 정책을 추진하며 제도화를 본격화
  • 국내는 가이드라인과 실증 중심의 초기 도입 단계로, 제도적 기반 마련이 진행 중
• 실증 사업 개요 및 도구
  • 한국정보보호산업협회(KISIA)와 고려대학교 컨소시엄이 HatBOM(SBOM 생성 도구)과 Vuddy(취약점 탐지 도구)를 활용하여 실증 진행
  • 미국 NTIA 기준에 따라 도구의 자동화 기능과 실효성, 적용 가능성을 점검
• 실증 결과 요약
  • A사: AI 기반 보안 솔루션 대상 실증, 구성 요소 시각화 가능했으나 결과 저장 및 도구 사용법에서 어려움
  • B사: C++ 및 Python 기반 모듈 실증, 지원 언어 한계로 전체 솔루션 검증 불가, 초보 사용자 대상 사용성 낮음
  • C사: 데이터 수집 보안 솔루션 대상 실증, 언어 지원 문제 및 신뢰성 부족 지적
• 주요 도입 애로사항
  • SBOM 도구의 생성 방식 및 형식이 제각각이며 표준화 미흡
  • 언어 지원 범위가 제한적이며 실제 기업 환경의 복잡성 반영에 어려움
  • 명세서 신뢰성 검증 수단 및 인증 체계 미비
  • 중소기업은 비용, 절차, 전문 인력 부족으로 자체 구축 어려움
• 제도 및 정책적 제언
  • SBOM 자동화 도구의 표준 준수 검증 체계 마련 필요
  • SBOM 명세서에 대한 인증 및 평가 기관 설립 필요
  • GS인증, 조달 등록 등 기존 제도와의 중복 규제로 인한 기업 부담 완화 필요
  • 중소·중견기업을 위한 교육, 전문인력 양성 프로그램 제공 필요
• 결론
  • SBOM은 SW 공급망 보안을 위한 필수 구성 요소로, 국가 차원의 표준화와 제도화가 선행되어야 함
  • 국내 실정에 맞는 도입 지원 정책, 사용성 개선, 인증 체계 확보가 SBOM 확산을 위한 핵심 요건
  • 초기 단계의 국내 SBOM 환경에서 정부의 정책 지원과 업계의 기술 내재화 노력이 병행돼야 함