SBOM은 제조업에서 사용하는 부품표(BOM) 개념을 착안한 용어다. 소프트웨어(SW) 구성요소를 식별할 수 있도록 돕는 일종의 명세서다. 식품 영향정보처럼 SW에 어떤 부품이 포함됐는지 알려주는 것이다. 개발사-공급사-운영사 간 정보 비대칭성을 해결해주는 게 핵심이다. SW부품 간 포함 관계를 확인할 수 있어 취약점 등 문제 발생 시 빠르게 대응할 수 있다.
디지털전환(DX) 가속화로 국민 일상생활은 물론 산업 전반에서 SW 비중이 높아졌다. 특히 모든 디지털 제품·서비스가 네트워크 연결됨에 따라 SW 보안 취약점을 악용하거나 SW공급망에 침투해 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 커지고 있다.
미국·유럽 등 해외 주요국은 발빠르게 공급망 보안 대응에 나섰다. 미국은 연방정부 납품 SW 보안 강화를 위한 '지침 준수'와 '자체 증명' 제출을 연내 시행할 예정이다. 특히 식품의약품안전청(FDA)은 의료기기 시장 출시 전 SBOM을 요구한다. 유럽은 SBOM 제도화 막바지에 이르렀다. 일본은 의료와 자동차 분야에서 SBOM 실증과 적용을 확대하고 있다. 지난해 12월에는 미국·일본·인도·호주 등 4개국 회담에서 '안전한 SW를 위한 공동 원칙'을 재확인한 바 있다. 이 때문에 국내 SW기업이 무역장벽에 맞닥뜨릴 수 있다는 우려도 제기된다.
국내에서도 최근 SBOM을 찾아주는 서비스가 생겨나 안전한 생태계 조성에 도움을 주고 있다. 정부는 'SW 공급망 거점'을 구축하고 SW 개발생명주기 관리를 SW 공급망 보안 관리 체계로 확장할 계획이다.
권혜미 기자 hyeming@etnews.com
-
권혜미 기자기사 더보기