SBOM 동향과 대응 방안

최근 공공, 국방 및 일반 제조 등 업계를 불문하고 소프트웨어(SW) 개발 시 ’소프트웨어 자재 명세서(Software Bill of Materials, SBOM)’라는 용어를 심심치 않게 볼 수 있다. 오픈소스 보안 취약점에 대응하기 위해 흔히 사용된다. 여기서는 SBOM의 중요성이 부각된 배경과 국내외 정책 현황, 효율적인 SBOM 관리 방안을 살펴본다. 

SBOM에 주목해야 하는 이유

SBOM이 주목받기 시작한 것은 2020년 말 공급망 관련 보안사고가 발생된 이후부터다. 당시 미국 기업 솔라윈즈(SolarWinds)에서 사이버보안 사고가 발생했는데, 공공·국방 및 일반 기업 등 약 3만 3천여 곳에서 폭넓게 사용 중인 네트워크 모니터링 솔루션 오리온(Orion) 일부 버전에서 업데이트 파일이 공격받아 백도어로 사용된 것이 밝혀졌다. 위협 행위자는 선버스트(SUNBURST)라는 악성코드를 통해 오리온 SW 업데이트의 일부가 트로이 목마화됐고 정상인 것처럼 유포되어 전 세계 오리온 사용자에게 치명적인 보안 위협이 됐다.

솔라윈즈 해킹 사건을 발단으로 SW 공급망의 보안 취약점 관리 이슈가 대두됐다. 바이든 정부는 행정명령을 통해 보완 대책을 세우도록 권고했다. 이에 따라 누구나 SW 개발 단계에서 사용되는 오픈소스와 라이선스 및 보안 취약점을 알 수 있도록 연방정부와 사업 계약을 맺은 기업이라면 SBOM이라는 SW 구성목록을 제출하는 것이 의무화됐다.

국내 기업도 국제 상황에 맞춰 발 빠르게 대응하고 있다. 공공기관이나 국방 및 일반 기업에서는 SBOM 작성을 위한 TF팀을 구성하거나 자체 SBOM 표준을 제정하는 등의 노력을 기울이고 있다. 한국정보보호산업협회(KISIA)가 발간한 ‘공급망 보호를 위한 SBOM 조사보고서’나 한국정보통신기술협회(TTA)가 마련한 ‘공개 SW 공급망 관리를 위한 SBOM 속성 규격’, 금융감독원이 제정한 ‘오픈소스 SW 활용·관리 안내서’ 등 공공 기관이 표준화에 앞장서고 있다. 

공개SW 포털은 월간 브리핑에 관련 내용을 꾸준히 소개하고 있으며, 한국공개소프트웨어협회 (KOSSA)에서는 SBOM 전문가 세미나를 개최해 국내 SW 기업의 대응 방안을 논의하고 있다. 소프트웨어정책연구소는 SBOM 관련 글로벌 동향이나 국내 SW 산업의 경쟁력 강화를 위한 리포트를 발표하는 등 다각적으로 대응하고 있다.

SBOM 표준 및 관리 방법

이처럼 솔라윈즈 사태 이후 SW의 라이선스뿐 아니라 보안 취약점까지 관리할 수 있는 SBOM의 중요성이 커졌다. 주요 SBOM 표준은 SPDX(Software Package Data Exchange), 사이클론DX(CycloneDX), SWID 태그(Software Identification Tags)가 대표적이다.

라이선스 중심인 SPDX는 리눅스 재단에서, 보안 취약점 식별하는 사이클론DX는 OWASP(The Open Web Application Security Project)에서 표준으로 주도하고 있다. SWID 태그는 일종의 태그 형식의 표준을 채용해 SWID 태그 혹은 레이블을 SW에 추가함으로써 구성요소를 확인하는 방식이다.

과거에는 자재 명세서(Bill of Materials, BOM)을 통해 자사 SW에 포함된 오픈소스 컴포넌트 혹은 서드파티 SW 구성목록을 주로 라이선스 관점에서 관리했다. 일반적으로 고지문 형태의 텍스트나 엑셀 포맷, 혹은 자체 포맷을 사용했다. 제품 메뉴에 고지문을 표시하거나 하드카피로 고객에게 전달하는 것이 대표적인데, 이런 방식은 여전히 사용되고 있다.

SBOM은 라이선스뿐 아니라 보안 취약점도 공통된 포맷으로 관리하도록 기능을 확장한 것이다. 개발자부터 최종 고객까지 SW를 소유하거나 개발하는 사람이라면 SBOM을 통해 누구나 SW 구성요소를 바로 확인하고 라이선스 및 보안 취약점을 바로 파악할 수 있다. 외부에서 반입 혹은 구입한 서드파티 SW나 오픈소스 컴포넌트 역시 마찬가지다. 사용하는 모든 SW의 SBOM을 수집해 중앙에서 관리함으로써 문제 발생 시 즉각적으로 대처할 수 있는 관리 체계를 구축할 수 있다. 

SCA 도구를 통한 SBOM 통합 관리

소프트웨어 구성 분석(Software Composition Analysis, SCA) 도구는 기존 BOM에 대한 리포트뿐 아니라 표준 SBOM 포맷인 SPDX, 사이클론DX를 지원하기 시작했다. 전자설계자동화 툴, 반도체 IP 및 애플리케이션 보안 솔루션 제공업체인 시높시스 SIG(Synoplsys SIG)의 SCA 도구 Black Duck^®이 대표적이다. Black Duck^®은 간단히 메뉴를 통해서 클릭 한 번으로 SBOM 리포트를 생성하는 기능을 지원한다. 
 
또한 외부에서 만들어진 SBOM을 불러오는 기능을 통해 Black Duck^®에서 생성된 SBOM뿐 아니라 다른 도구에서 만들어진 SBOM도 손쉽게 통합·관리할 수 있다.
 
Black Duck^® 제조사 시높시스 SIG는 미국 SBOM 표준을 위한 공공 민간 협의체 멤버로 참여하는 등 적극적으로 SBOM 제정에 앞장서고 있으며, 이와 관련해 Black Duck^®에도 SBOM 관련 기능을 신속히 적용 및 업데이트하고 있다.

SBOM 중심의 협력 체계가 필요한 시점

현재 전 세계 많은 기업이 SBOM 도입을 추진 중이다. 홈페이지에 고지문과 함께 SBOM 파일을 다운로드할 수 있도록 한 기업도 있으며, 한국형 SBOM 규격을 제정하고 의무화하려는 등 오픈소스 관리를 위해 SBOM을 활용하려는 다양한 노력이 이어지고 있다.

이와 함께 각국 정부는 관련 제도를 마련하고 협의체를 구성하며 SBOM 확산을 위해 노력하고 있다. 앞서 살펴본 것처럼 국내에서도 점점 많은 공공 기관 및 기업이 SBOM을 표준으로 정하고 있으며, SBOM 리포트를 고객에게 공개하기 시작한 기업도 있다. 과학기술정보통신부 역시 오픈소스에 대한 중요성을 인식한 듯 안전한 활용을 지원하는 SBOM 체계를 수립키로 했다. 

SW 공급망은 국경을 초월한다. 한 나라의 노력이 아닌 전방위적인 협력 체계가 무엇보다 중요하며, 한 국가 내에서도 공공과 민간의 집합적 노력이 필수적이다. 기업 안에서도 SBOM을 중심으로 오픈소스 라이선스 담당 부서와 보안 취약점 담당 부서가 협력한다면 전사적인 관리와 신속한 대응이 가능할 것이다.