국내외 SW 공급망에 대한 사이버 공격 위협이 증가함에 따라 관련 보안의 중요성이 증가하고 있다. 특히 SW 전체의 구성요소를 목록화한 '소프트웨어 자재명세서(SBOM)가 대응방안으로 주목받고 있다. SBOM을 통해 소프트웨어 구성 요소의 투명성을 확보하고, 체계적으로 관리하며 이를 통해 보안취약점을 사전에 파악해 보안 사고를 예방할 수 있다.
SBOM은 소프트웨어 구성 요소와 이들의 의존 관계를 명시한 문서로, 소프트웨어의 투명성을 높이고 보안 위험을 관리하는 데 필수적인 도구다. 소프트웨어 구성요소 간 관계, 오픈소스 및 외부 서비스 융합 방식 등을 포괄해 보여주기 때문에 사이버 공격이나 전상장애가 발생했을 때 빠른 대응이 가능하다.
회사에 따르면 최근 SW 개발 시 오픈소스 등 외부 SW를 포함하는 경우가 많아 공급망의 복잡성이 커지는 동시에 악성코드·보안취약점 관리 필요성이 대두되고 있다.
현재 해외 주요국은 SBOM을 공급망 보안 기법으로 활용하고 있다. 미국은 2021년 연방정부와 사업 계약을 맺은 기업을 대상으로 SBOM 제출을 의무화하도록 하는 행정명령을 내렸다. 이후 유럽연합(EU)에선 2022년 9월 '사이버 복원력 법안(CRA)'이 제안된 데 이어 지난해 1월 '주요조직 복원력 명령(CER)'이 내려졌고, 금융기관에 대해선 내년 1월 '디지털 운영 복원력법(DORA)' 시행을 앞뒀다.
이러한 가운데 국내에서는 클라우드 기반 AI·SW 스타트업 구름이 통합개발환경 구름IDE에 보안 취약점을 분석하는 SBOM을 탑재했다. 특히 구름IDE와 연동되어 있어 SW 개발 초기단계부터 모든 구성 요소를 실시간으로 추적하고 기록할 수 있도록 하여, 내부 보안 취약점을 파악하고 위험 요인에 효율적으로 대응할 수 있도록 했다고 회사 측은 전했다.
구름IDE에 SBOM 생성 기능을 도입해 사용자는 컨테이너에서 공급자 및 구성요소 이름, 구성요소 버전 등을 포함한 SBOM 보고서를 생성할 수 있다. 주요 SBOM 포맷인 SPDX 형식뿐만 아니라 사이클론(Cyclone)DX 형식도 지원해 사용자가 필요에 맞게 선택할 수 있다. 또한, GUI 기반으로 설계되어 있어 사용자가 직관적으로 SBOM을 생성하고 관리할 수 있다.
특히, 주요 정보를 다루는 공공기관이나 금융, 게임, 커머스 업계에서 오픈소스 라이선스를 확인하고, 발생가능한 법적 문제를 사전에 예방할 수 있다.
구름IDE는 SBOM을 탑재함으로써 개발자가 사용하는 소프트웨어의 정확한 구성요소를 파악할 수 있게 해 준다. 이 기능은 자동으로 모든 의존성을 식별하고, 각 구성요소의 라이선스 및 보안 취약점 정보를 제공한다. 구름IDE에서의 SBOM 관리는 코드의 보안을 강화하고, 라이선스 이슈 등 컴플라이언스 문제를 사전에 해결할 수 있다. 또한, 프로젝트의 의존성을 명확히 관리함으로써 개발 과정을 체계적이고 효율적으로 진행할 수 있다.
곽경주 구름 CSO는 “구름IDE의 SBOM 생성 기능은 사용자가 직관적으로 보고서를 생성하고 관리할 수 있게 설계되어 실무 적용 시 시간과 비용을 절감할 수 있다”며 “앞으로도 지속적으로 SBOM 기능을 개선해 더 나은 보안 솔루션을 제공할 예정이다”고 말했다.
이원지 기자 news21g@etnews.com
