"아빠가 차를 사줬는데 아이가 운전면허증이 없습니다."
지난 13일 서울 용산 전자랜드에서 한국인터넷진흥원(KISA)이 개최한 '2025년 SW 공급망 보안 사업 설명회'에서 강연을 한 안도성 SK쉴더스 정보보호그룹장이 한 말입니다. 행사장이 교통이 편리한 강남이나 광화문이 아니였음에도 만석을 이룰만큼 기업들 관심이 높았습니다.
운전면허증이 없는 아이에게 차를 사주면 어떻게 될까요? 네, 위험합니다. 안 그룹장은 S-BOM(S-봄)을 도입해야 한다면서도 그 과정이 힘들고 사장급이 관심을 갖지 않으면 실패 프로젝트로 돌아갈 위험이 크다면서 이런 말을 했습니다.
S-BOM은 뭘까요? 영어로 Software Bill of Materials의 약어입니다. 우리말로 하면 소프트웨어 자재 명세서쯤 되죠. 어떤 소프트웨어에 포함된 구성 요소, 라이브러리, 의존성, 버전 정보 등을 정리한 목록입니다. 하드웨어 제품의 BOM 개념을 소프트웨어에 적용한 거죠.
S-BOM은 공급망 보안과 함께 최근 사이버 보안 업계의 화두로 떠오른 단어입니다. 소프트웨어(SW) 개발때 오픈소스를 많이 사용하는데, 이런 오픈소스에 산재한 취약점을 노린 해커 공격이 급증하고 있기 때문입니다.
당국은 SW 공급망 위협 증가가 미국·유럽연합(EU) 등 주요국의 SW 공급망 보안 강화 조치로 이어져 자칫 국내기업들의 수출장벽으로 작용할까 우려하고 있습니다. 실제, 미국은 의료기기 인허가 시 S-BOM을 확인하고 있고, 유럽은 커넥티드카·자율주행시스템에 S-BOM 관리의무화에 이어 오는 2027년부터 시행하는 사이버복원력법(CRA,Cyber Resilience Act)에서 ‘디지털 요소가 있는 기기’의 SBOM 관리를 요구하고 있습니다.
S-BOM 도입을 처음 시작한 나라는 어디일까요? 소프트웨어 분야 최강자 미국입니다. 미국은 2021년 5월 바이든 행정부가 행정명령을 발표해 소프트웨어 공급망 보안을 강화하기 위해 S-BOM을 필수 요구사항으로 지정했습니다. 이어 같은해 7월 미국 국립표준기술연구소(NIST)가 S-BOM 가이드라인을 발표해 공급업체가 제공해야 할 S-BOM의 기본 요소를 정의했고, SPDX와 CycloneDX 같은 표준을 준수하도록 했습니다.
SPDX(Software Package Data Exchange)는 2010년 리눅스재단(Linux Foundation)이 시작한 프로젝트로, 소프트웨어 패키지의 라이선스 및 저작권 정보를 표준화하고 공유하는 포맷이자 도구입니다. 또 CycloneDX라는 소프트웨어 구성 요소 정보를 기록하고 공유하는 표준으로 편리성 덕분에 개발자들에게서 인기입니다.
미국은 S-BOM 가이드라인 발표에 이어 사이버보안 및 인프라 보안국(CISA)이 2022년 9월 S-BOM 활성화 로드맵도 발표했습니다. 또 유럽연합(EU)은 사이버복원력법(CRA) S-BOM 활용을 요구할 태세고, 일본은 경제산업성(METI)이 2022년부터 S-BOM을 기반으로 한 소프트웨어 공급망 보안 정책 연구를 시작했습니다.
우리나라는 작년 4월 과기정통부와 디지털플랫폼정부위원회, 한국인터넷진흥원(KISA)이 공동으로 S-BOM 가이드라인을 발표했습니다. 당시 강도현 과기정통부 차관은 가이드라인에 대해 "규제가 아니다"면서 "소프트웨어의 품질과 보안역량을 제고하기 위한 것으로, SW 개발 중소기업의 수출을 지원하겠다"고 말했습니다. 이처럼 S-BOM은 미국이 가장 먼저 적용했고, 세계로 확대하고 있습니다.
특히 미국에 수출하려는 기업은 S-BOM 도입이 필수입니다. 몸에 좋은 약은 쓰다고 하죠. S-BOM은 도입이 힘들지만 내재화하면 여러 좋은 점이 있습니다. 첫째, 소프트웨어 공급망 보안 강화에 도움이 됩니다. S-BOM을 통하면 SW에 어떤 구성 요소가 포함됐는 지 알 수가 있기 때문에 보안 취약점이 발견됐을때 즉각적인 대응이 가능합니다.
둘째, 라이선스 컴플라이언스(준수) 관리가 용이합니다. 소프트웨어 개발 과정에서 오픈소스 사용이 보편화하면서 다양한 취약점을 노린 공격이 급증하고 있는데요, S-BOM은 소프트웨어에 포함된 오픈소스 라이브러리의 라이선스 조건을 명확히 파악할 수 있어 법적 리스크를 줄일 수 있습니다. 셋째, 효율적인 소프트웨어 유지보수도 도와줍니다. 프로젝트 내에서 사용하는 구성 요소 버전 및 변경 사항을 추적, 업데이트 및 유지보수 작업을 원활히 수행할 수 있게 해줍니다.
S-BOM이 주목받는 건 결국 해킹때문입니다. 해킹시 BOM이 있으면 즉각적인 대응이 가능합니다. 최근 몇년새 일어난 심각한 세계 해킹 사례를 한번 보까요. 2020년 발생한 '솔라윈즈(SolarWinds) 해킹'과 2021년 일어난 'Log4j 취약점(Log4shell)' 사태가 대표적입니다. '솔라윈즈 해킹'은 러시아 해커 조직이 IT 관리 소프트웨어 기업 솔라윈즈(SolarWinds)의 업데이트 서버를 해킹, 악성코드를 포함한 소프트웨어를 배포해 일어난 것으로, 미국 국방부와 재무부, 마이크로소프트 등 1만8000개 기관 및 기업이 감염됐습니다. 소프트웨어 공급망을 통한 공격이 얼마나 위험한지 보여준 대표적 사건이죠.
'Log4j 취약점(Log4shell) 사태'는 인기 오픈소스 라이브러리 'Log4j(Java 기반 로깅 라이브러리)'에서 치명적인 취약점이 발견된 것으로, 이 라이브러리는 전 세계 수많은 애플리케이션과 서비스에서 사용됐지만 어디에 포함됐는지 추적이 어려워 그만큼 대응이 늦어지고 어려웠습니다. 만일 S-BOM이 있었다면, 해당 라이브러리가 어디에 사용됐는 지 쉽게 파악할 수 있었을 것입니다.
관련기사
- [방은주의 보안 산책] 9월 열리는 GPA 총회···세계 프라이버시 지수를 만들자2025.03.09
- [방은주의 보안 산책] 잇달은 보안 사고 왜?2025.03.03
- [방은주의 보안 산책] 국제무대서 위상 높아진 개인정보위2025.02.23
- [방은주의 보안 산책] 우리는 왜 포티넷 같은 글로벌기업이 없을까2025.02.17
다시 13일 열린 KISA 행사로 돌아가면, 여러 발표자들이 S-BOM이 중요하다고 도입해야 한다고 이구동성으로 지적했습니다. KISA도 "S-BOM을 도입하는 것은 먼 미래 일이 아닌, 우리나라가 직면한 최우선 과제"라고 강조했구요. 이에, 올해 KISA는 과기정통부와 함께 디지털제품과 서비스를 개발·공급·운영하는 기업의 SW 공급망 구축을 지원하기 위해 20여억원을 투입해 8개 과제를 지원합니다.
하지만 KISA 행사에서 발표자들이 이구동성으로 지적한 것 처럼 S-BOM 도입은 쉽지 않습니다. 무엇보다 CEO 등 C레벨 어젠다가 돼야합니다. 실무자나 부장급 어젠다가 되면 실패하기 십상입니다. 이건 S-BOM 뿐만이 아니죠. 다른 중요한 IT시스템 구축도 마찬가지입니다. CEO가 관심갖고 강력히 추진하는 CEO 어젠다가 돼야 성공 가능성이 높습니다. CIO나 실무자 어젠다가 되면 그만큼 성공 가능성이 낮아지구요. 이래저래 CEO는 할일이 많네요.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
