“SW 공급망”… 투명성 확보 수단과 주요국의 동향

[디지털비즈온 김맹근 기자] 주요 국가 정부는 SW공급망 투명성 확보 수단 중 하나로 SW제품 내의 구성요소 정보를 기술한 문서, SBOM(Software Bill of Materials)에 주목하고 있다. 이는 공개 SW를 비롯한 SW 재사용 확산과 함께 신뢰 기반으로 형성된 SW 공급망으로 국가 안보에 직·간접적으로 관련된 위협이 증가하고 있음에 기인한다. 디지털 가속화와 함께 신기술의 빠른 도입 수단으로 SW재사용이 전 산업에 걸쳐 필수적인 요소로 평가되는 만큼 관련된 위협 관리도 반드시 해결해야 하는 과제임을 뜻한다.

공개 SW를 비롯한 SW 재사용 확산으로 SW공급망을 통한 위협 사례가 증가함에 따라 SW 구성요소 수준에서의 투명성 확보 필요성 제기된다. 디지털전환 가속화로 전 산업에 SW 재사용이 확산돼 SW 제품의 구성요소에 대한 공급망 복잡성이 증가하면서 SW 구성요소 가시성의 확보에 어려움 발생한다.

신뢰 기반 채널로 동작하던 SW공급망(공개 SW, SW 업데이트 서버 등)에서 위협 사례가 공공·민간에 걸쳐 급증하면서 국가 안보 문제로 인식하기 시작했다. 이에 따라, 국가 안보를 위한 SW 구성요소 투명성 확보의 필요성 제기된다.

SW 공급망 투명성 확보 방안으로 SW 구성요소 정보를 제공하는 SBOM(Software Bill of Materials)에 주목한다. 시스템 관리에서 SBOM을 활용할 경우, 제3자 SW구성요소 및 소스코드를 감시함으로써 보안 결함 발견 시 공급자·개발자 대응 전에 빠르게 조치 가능하다.

SW 재사용은 신기술 도입 및 시스템 구축 비용 절감을 위한 필수적 SW 개발 방법론으로 자리매김했지만, 동시에 내포한 보안취약점도 동반하는 위험 발생한다. SBOM은 SW제품 내의 구성요소에 대한 세부 정보를 기술해 자동화에 기반한 SW 공급망 관리를 가능하게 해 조직의 개발·법무·조달·위험 관리 등을 지원한다.

주요국 정책 동향

일본은 경제산업성 내에 전담 조직 소프트웨어TF를 설치해 SBOM의 개념 및 효용성, 제도화 방안 등 검토 추진하고 있다. 사이버물리 보안 확보 차원에서의 SW공급망 보안 강화를 위해 전문가로 구성된 조직체계를 마련해 SBOM을 포함한 SW관리 방법을 검토하고 있다.

소프트웨어TF를 중심으로 실증사업을 추진함으로써 SBOM 도입에 따른 비용· 효과를 평가하고 활용·거래 모델과 기술적 측면에서의 자동화· 공유 방안 검토하고 있다. 자율주행 시스템 검증 공개 SW를 실증 대상으로 선정하고, 공급자-제품 벤더-사용자 기업으로 SW공급망을 구성해 SBOM의 유통 과정을 실증한다. SBOM 도입 필요성이 제기되거나 효과가 높다고 평가되는 의료기기, 자동차, 소프트웨어 분야로 실증 범위를 확대 추진중이다.

경제산업성은 공개SW의 관리 방법 및 취약성 대응을 포함한 우수사례집을 배포해 민간의 SBOM 활용 확산을 촉진하고 있다. 모범사례를 20개 이상의 국내외 주요 기업으로부터 선정해 보안취약점 대응과 적절한 관리 방안을 중심으로 공개SW 활용법 공유한다. SBOM 또는 SW구성요소를 분석·관리하는 유사 체계를 구축한 기업 사례들을 분석해 SBOM 도입 필요성에 대한 인식을 제고하고 활용 활성화 유도한다.

총무성은 「ICT 사이버보안 종합대책 2022」21에 SBOM 검토 필요성을 적시해 SBOM 적용 범위를 ICT 전반으로 확대할 것을 시사했다. 일본 정부는 사회 전체의 디지털 전환과 공공의 사이버 활용 확산을 수반하는 사이버 보안 확보를 위해 ICT 분야에 대한 사이버보안 종합대책 발표했다. 정보통신 분야에서의 공급망 위협 대응을 위한 향후의 대처 중 하나로 SBOM 도입 가능성 검토를 제시해 ICT 사이버보안 강화에 활용한다.

EU는 공개SW 공급망 강화 측면에서 SW인벤토리 관리를 통해 안전하고 신뢰할 수 있는 공개SW 활용 촉진을 목적으로 하는 프로젝트 추진하고 있다. EU는 공공서비스에서 활용되고 있는 주요 공개SW의 목록화 및 관리를 통해 SW자산·보안취약점 관리 및 재사용 활성화 유도하고 있다.

유럽의회와 EC는 SW공급망 보안 위협에 대응해 공개SW를 중심으로 SW코드의 보안성 및 투명성 강화를 위한 EU-FOSSA 프로젝트 수행한다. EU-FOSSA의 연장선상에서 공공서비스에 활용 중인 공개SW에 대한 체계적 관리를 위해 FOSSEPS 파일럿 프로젝트 발표했다.

유럽 보안 전문기관 ENISA는 의료기기, IoT 등에서의 사이버보안 강화를 위해 SBOM 활용을 권고하는 보안 가이드라인 배포했다. 의료기관은 구매한 시스템 및 제품에 포함된 SW·HW에 대해 구성명세서(BOM)를 공급자에게 요구할 것을 권고했다. IoT 공급망 보안 강화를 위해 관련 이해관계자가 준수해야 하는 보안 지침 중 하나로 SBOM을 제공하도록 한다.

EC는 유럽 내에서 디지털 요소를 가진 제품(이하 디지털 제품)을 판매하기 위해 SBOM 제출을 요구하는 「사이버복원력법(Cyber Resilience Act)」 제안한다. 공급망이 국가를 넘어 복잡하게 얽히는 디지털 제품에 대해 회원국의 공통 표준화된 사이버보안 프레임워크 구축을 위해 입법 추진한다. 디지털 제품의 시장 출시 전에 제출해야 하는 기술 문서에 보안 평가, 취약점 대응, 준수여부 확인 등을 위해 SBOM을 포함시키도록 한다.

중국은 공급망 보안관리를 위해 클라우드 서비스, SW 분야를 중심으로 평가 및 보안 표준을 제정하고, SW공급망에 대해서는 SBOM을 활용하도록 권고했다. 공산당과 정부기관 및 핵심정보기반시설 운영자가 도입·이용하는 클라우드 서비스에 대해 보안 평가를 의무화하는 새로운 규정 마련했다. 중국표준화관리위원회는 SW공급망의 보안 강화를 위해 SBOM을 사용하도록 하는 정보보안기술 SW공급망 보안 요구 표준을 발표했다.

SW공급망 보안 강화를 위해 관련 연구·개발을 주도하는 전담조직을 구성은 공업정보화부 산하 CAICT에서 SW공급망보안연구소(3S-LAB)을 설치해 SW공급망 보안 강화를 위한 협력체계 구축했다.

CAICT를 중심으로 SBOM 관련 백서 및 가이드를 발간해 SW개발·운영 실무 수준에서 SBOM 활용 확산을 위한 발판 마련한다. SW공급망 투명성 확보를 통해 빠른 보안취약점 대응 방안 중 하나로 SBOM을 제시하는 SW공급망 보안백서 발간했다.

결과적으로 주요 국가들은 SW공급망 투명성 강화를 위해 글로벌 SBOM 정책 동향을 모니터링 하면서 활용사례집, 가이드 및 백서 등 발간을 통해 SBOM 활용을 권고했다. 국제적 연결성을 가지는 SW공급망 특성 때문에 주변 국가의 SBOM 도입·제도화 동향을 주시하고 조화 방안 및 대응책 마련에 집중한다.

직접 언급은 되지 않았지만 SBOM과 목적·기능 측면에서 동일하게 구현되는 유사체계를 바탕으로 연구개발 및 제도화를 추진함으로써 SW공급망을 관리한다. 공공 서비스에서 사용하는 공개SW를 SW자산으로 인식하고 SBOM과 유사한 SW인벤토리를 구축·관리해 SW공급망 관리체계 확립한다.

SBOM의 본격적인 확산을 위해 전담 조직 구성, 실증사업 수행과 함께 제도화 방안을 검토하거나 보안 관련 인증·법안에 SBOM 적용 추진한다. 주변 국가의 정책 동향, 국제표준, 도구·서비스 등 SBOM 관련 연구 및 정책 방안 수립을 담당하는 조직을 신설해 정책 추진력 확보 및 협력체계 구축한다. SW공급망 보안 필요성이 특히 강조되는 주요 산업 영역 중심으로 SBOM 실증을 추진해 실효성을 점검하고 관련 가이드를 제공해 인식 개선한다.

SW공급망 투명성 확보를 목적으로 주요 국가들에서 SBOM에 주목하고 있는 만큼 국내 SW생태계 경쟁력 확보 차원에서 대응책 마련 필요하다. 기업은 글로벌 추세에 맞추어 경쟁력 격차를 발생시키지 않기 위해, 개발에서 운영까지 SW제품의 생애주기 상에서 SBOM 도입을 검토해야 하는 시점이다. 또한 정부는 기업의 SBOM 활용 여건을 조성하기 위한 제반 마련에 집중하여야 한다.