“소프트웨어-2”… 주요 국가별 SBOM 적용 현황

[디지털비즈온 김맹근 기자] 미국은 “국가 사이버 보안 개선”(Improving the Nation’s Cybersecurity)을 담은 EO14028 발표 이후 백악관과 OMB(Office of Management and Budget)는 후속 조치의 일환으로 소프트웨어 보안 강화를 위한 범부처 차원의 대응 전략을 추진하고 있다[1]. 상무부 산하 NIST와 NTIA(National Telecommunications and Information Administration)는 SBOM 개념과 표준화를 위한 이니셔티브 발족 및 실무적인 효과성 검증을 위한 실증사업을 통해 국가 정책 수립 활동을 지원하고 있다.

DoD(Department of Defense), DoE(Department of Energy), DoT(Department of Transportation), HHS(Department of Health and Human Services) 등 여러 정부 부처에서 공급망 관련 제도 정비 및 의료, 에너지, 자동차 등의 분야별 실증사업을 통해 SBOM 효과성 분석 및 정책 구현을 시행하고 있다.

SBOM이 정착되기 위해서는 정부 차원의 제도정비와 민간협업을 통한 지속 가능한 실무 활용 방안이 필요하다. 정부에서는 사이버 보안 강화가 요구되는 공공 분야를 중심으로 SBOM 제출 의무화 및 CISA를 통해 오픈소스 소프트웨어 공급망 보안 대응을 위한 오픈소스 구성 요소 위험 평가 프레임워크 지원 방안 발의 등을 발표하면서 SBOM 관리 절차의 표준화와 자동화, 재사용성 극대화를 도모할 수 있는 제도를 마련하고 있다.

SBOM 제도화 및 오픈소스 소프트웨어 기업을 포함한 산업계와 연구계 등 민간 분야의 자발적인 참여를 유도함으로써 점진적인 SBOM 생태계 확산을 통한 소프트웨어 공급망 보안 강화라는 선순환 사이클을 조성하고 있다.

일본은 일본경제산업성(経済産業省)을 중심으로 산업사이버보안연구회의 3개의 워킹그룹 중 제도ㆍ기술ㆍ표준화를 담당하는 워킹그룹 1에 CPSF(The Cyber/Physical Security Framework)를 관리하는 소프트웨어 TF를 운영하여 소프트웨어 공급망 보안 강화를 도모하고 있다.

2019년 9월부터 산ㆍ학ㆍ연을 연계한 실무회의를 통해 SBOM 도입 기반을 마련하고 있으며, 2023년 2월 SBOM 도입 필요성이 높고 효과성이 기대되는 의료기기, 자동차, 소프트웨어 분야의 실증결과를 토대로 SBOM 초기 도입을 위한 활용 모델 및 SBOM 촉진을 위한 거래 모델 등을 도출하였다

총무성(MIC)에서는 “ICT 사이버보안 종합대책 2022”를 통해서 SBOM 적용 범위 및 ICT 전반의 확대를 시사하였으며, 2023년 4월 사이버 보안 태스크 포스 사무국은 “ICT 사이버 보안 종합 대책 2023(가안)”의 주요 골자로 정보통신 네트워크 분야에서 사이버보안대책 추진전략으로 5G 보안 및 SBOM 등의 공급망 위험대책 수립을 추진하고 있다.

EU는 2021년 9월 EU(유럽연합)의 우르슬라 폰 데어 라이옌 집행위원장이 발표한 “2021 EU 사이버보안 전략”(2021 EU Cybersecurity Strategy)[17]과 “2022 EU 보안 연합 전략”(2020 EU Security Union Strategy)[18]을 기반으로 소프트웨어를 포함한 디지털 제품의 보안 조치의 필요성을 제기하며 책임 강화를 촉구하였다.

2022년 9월 사이버보안 레질리언스 법안(Cyber Resilience Act: CRA, 2022/0272/COD)의 37조를 통해 소프트웨어 제조업체의 SBOM 적용 및 문서화를 통한 취약점 추적성 확보 및 공급망 보안 강화를 명시하였다[19]. 사이버보안 레질리언스 법안(CRA 2022/0272/COD)은 EU 회원국 내에 제작 및 유통되는 디지털 기반 제품의 안전성을 확보하기 위한 CE마크 적용 시에도 활용된다.

미국과 일본의 사례와 마찬가지로 EU에서도 오픈소스 소프트웨어로 인한 위험 최소화를 위해 FOSSEPS(Free and Open Source Software for European Public Services) 프로젝트를 통해 유럽 공공 분야의 소프트웨어 인벤토리 구축 및 관리를 추진하고 있다.

ENISA에서는 의료기기나 IoT 보안 가이드라인을 발표하였으며, IoT 소프트웨어 공급망의 소프트웨어 추적과 모니터링을 위한 D-SBOM(Distributed Software Bills of Material)을 통해 SBOM 원천기술 확보 및 실증 확대를 위한 노력을 지속하고 있다.

한국은 2019년 4월 ‘국가사이버안보전략’의 사이버안보 6대 전략과제 발표[22] 이후, 2019년 9월 관계부처 합동으로 발간한 “국가사이버안보 기본계획”을 통해 기관별 실행계획을 담은 18개 중점과제와 100개의 세부 추진과제를 2022년까지 단계적 추진한다고 밝혔다.

2021년 2월에는 ‘K-사이버방역추진전략’을 통해 비대면 솔루션, 다중 이용 서비스, 공공분야의 SW 안전성 점검 및 공급망 보안도구 보급을 통한 보안 수준 강화를 지원하는 한편, 기존 인증 제도를 활용한 공급망 검증체계를 구축하여 안전한 국가 기반 구축을 도모하였다.

2022년 11월 국가사이버안보위원회 설치 및 소관 분야에 대한 예방 및 대응활동 수행 책임, 공급망 보안 위협 예방 및 공세적 대응조치 방안 마련 등을 포함한 ‘국가사이버안보 기본법(안)’이 입법예고 되었다. 이 외에도 첨단기술의 기술 패권 경쟁력 강화를 위한 목적으로 과학기술정보통신부는 정보통신기획평가원을 통해 ‘정보보호핵심원천기술개발’ 사업 중 2022년부터 “소프트웨어 공급망 보안을 위한 SBOM 자동생성 및 무결성 검증 기술 개발”을 추진하고 있다.

2023년 6월에는 “SW 공급망 보안 추진을 위한 현장 간담회”를 통해 SW 개발ㆍ유통ㆍ운영 등 SW 공급망 전 과정의 보안 취약점 발견 및 사고 대응 방안 논의를 통해 소프트웨어 공급망 보안 강화라는 글로벌 보안 기조에 따른 대응 방안을 모색하였다.

국가정보원에서는 “2023 국가정보보호백서”를 통해 소프트웨어 취약점을 이용한 타깃형 공급망 공격의 위험성을 명문화하는 한편, 2023년 클라우드 보안인증 체계 개선을 통해 서비스 공급망 관리를 위한 공급망 정책 및 공급망 변경 관리의 통제 항목을 명시하여 클라우드 공급망 검증을 수행하고 있다.

결론적으로 소프트웨어 공급망 공격에 대응하기 위한 SBOM 필요성과 미국의 EO14028 발표 이후 주요 국가별 SBOM 대응 현황에 따른 국내 대응 현황을 살펴보았다. 주요국에서는 SBOM을 이용한 소프트웨어 공급망 보안을 강화하기 위해서 제도적 지원, 실증 사례를 통해 민간협력 강화, 보안인식 제고를 위한 소프트웨어 개발자 및 사용자 관점의 SBOM 적용 방안 공유 등이 시행되었다.

더불어 SBOM 실증사업을 통해 산업별로 야기되는 문제점과 한계점을 도출하고 원천기술 개발을 통해 SBOM과 공급망 보안 기반기술 확보가 수반되어야만 글로벌 기술 경쟁력을 확보하고 시장선도가 가능해질 것이다.

소프트웨어 공급망 보안강화를 위한 생태계 전반의 긍정적인 변화에 편승하여 국내에서도 SBOM 도입 활성화 및 소프트웨어 공급망 보안 강화 활동을 통해 생태계 전반의 보안수준 향상과 안전성 확보를 도모할 수 있는 기회가 되기를 기대해 본다.