소프트웨어자재명세서(SBOM) 생성은 물론이고 검증, 교환까지 소프트웨어(SW) 공급망 보안을 손쉽게 관리하는 플랫폼이 나왔다.
래브라도랩스(대표 김진석 이희조)는 19일 SW 공급망 자동관리플랫폼 ‘래브라도 SCM’을 내놨다.
래브라도랩스는 SW 공급망에 관여하는 모든 기업의 SBOM 생성, 보내기, 받기, 상호 확인, 수정 보완 등 일련의 과정을 ‘래브라도 SCM’으로 자동화했다.
래브라도랩스는 제품 출시와 함께 글로벌 제조 대기업과 의료기기 기업이 ‘래브라도 SCM’을 도입해 글로벌 SW공급망 규제에 대응하기 시작했다고 밝혔다.
■ 각국 SW 공급망 보안 규제 강화
해커는 최근 SW 공급망의 취약점을 악용한 사이버 공격에 열을 올리고 있다. 미국은 2020년 공공기관에 설치된 네트워크 관리 솔루션 솔라윈즈(SolarWinds) 제품 SW취약점으로 사이버 공격을 받았다.
이 사고 후 미국은 2021년 SW 공급망 안전 강화를 위해 행정명령 14028을 발표했다. 모든 공공기관에 들어가는 SW에 SBOM 제출을 의무화했다. 미 식품의약품안전청(FDA)은 2024년 의료기기에 SBOM 제출을 권고했다. SW 공급망 취약성에 따른 사이버 위협을 최소화하겠다는 의지다.
이러한 움직임은 미국뿐만 아니라 유럽과 일본 등 다른 국가에서도 진행 중이다. 주요 산업 장비 제조사들은 SBOM 관리를 필수로 요구하고 있다. 한국 정부도 2024년 5월에 ‘SW 공급망 보안 가이드라인’을 발표했다. 한국 정부는 국내 기업이 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련했다. 사이버 안보 강화는 물론이고 국내 기업이 글로벌 규제에 신속히 대응할 수 있는 체계 확보에 주력하고 있다.
SW 공급망은 복잡한 구조로 기업이 SBOM을 만들고 대응하는게 쉽지 않다.
예를 들어, 완성차 기업은 A사에서 인포테인먼트 SW를 공급받고 B사에서는 차량 간 데이터 전송 SW를 구입한다. 자동차에는 약 1억 줄의 SW가 들어가는데 수많은 공급사가 납품한 코드의 조합으로 만들어진다. 완성차 기업은 1차부터 n차에 이르는 협력 기업에게 SBOM을 받고 지속 관리해야 한다. 협력사 역시 변화하는 SBOM을 추적하고 협력사에 공유해야 한다.
기존에 기업은 SBOM을 생성한 후 이메일 등으로 전송했다. 이 과정에서 기업 핵심 정보인 SBOM 정보가 노출되거나 버전 관리에 혼선을 빚었다.
■ SBOM 생성과 관리 어려움 한번에 해결
래브라도 SCM은 SW협력사 사이에 SBOM 생성과 관리 어려움을 해결한다.
최종 제조사와 협력사는 래브라도 SCM을 통해 각각의 표준화된 SBOM을 교환한다. 기업은 래브라도 SCM에 제품별 SBOM을 올린 후 공유하기만 누르면 자동으로 협력사에 최신 SBOM이 전달된다. 기밀 노출 위협이 줄어들고 버전 관리가 간편해진다.
래브라도 SCM은 제조사(허브 기업)와 SW 협력 기업을 연결한다.
허브 기업은 래브라도 SCM에서 협력 기업 SBOM을 원스톱으로 관리해 SW 보안성을 높이며 각국의 SBOM 규제 문제에 대응할 수 있다.
래브라도 SCM은 소스코드 프라이버시(Source Code Privacy)를 위해 해시 암호화 데이터를 사용해 SBOM을 생성한다. SBOM 무결성 점검한 후 안전하게 교환하게 한다.
Cyclone-DX, SPDX, NIS-SBOM, 엑셀 등 사용자가 쉽게 이해할 수 있는 SBOM포맷을 지원한다. SW 라이선스와 취약점 이슈를 쉽게 파악하고 결과 점검이 쉽다.
래브라도 SCM은 SW 공급망 단계에서 기업 특성에 따라 사용 라이선스 범위를 구분해서 제공 받을 수 있다.
영세한 SW 협력사(공급사)는 SBOM을 생성하거나 관리할 인력과 리소스가 부족하다. 래브라도랩스는 협력사를 위한 오픈소스 취약점 및 라이선스 컴플라이언스 위험 제거 도구 ‘소프트웨어 구성 분석(SCA)’ 솔루션도 제공한다.
상용 SW의 80%는 오픈소스로 구성되며 라이선스 위반뿐 아니라 보안 취약점 패치가 되지 않아 제품에 해킹공격이 발생한다. 치명적인 CVE취약점이 패치되지 않으면 규제 인증시 승인거절 된다. SCA를 사용하면 SW 투명성 뿐만 아니라 보안 관리도 강화된다.
협력사는 SCA로 SW를 점검한 후 SBOM을 만들고 래브라도 SCM에서 제조사와 공유하면 된다.
김진석 래브라도랩스 대표는 “래브라도 SCM은 SW 유통 과정에서 취약점을 사전에 점검해 안전한 SW로 보완하는 것은 물론이고 SBOM 수작업 생성 및 교환에 따른 업무 비효율성 개선하는 획기적인 서비스"라고 말했다.