"안전한 세계 사이버세상 구현"...韓美日 등 15국 참여 S-BOM 지침 발표

안전한 사이버세계를 위한 것으로 우리나라를 포함해 미국, 영국, 프랑스, 일본 등 세계 15개국 17기관이 참여해 만든 S-BOM(소프트웨어 BOM(Bills of Materials) 지침이 제정, 발표됐다.

미국 사이버보안·인프라 보안국(CISA, Cybersecurity and Infrastructure Security Agency)이 주도했고, 우리나라에서는 국정원과 한국인터넷진흥원(KISA)이 참여했다.

산업계와 학계에 따르면, 미국 CISA는 '사이버보안을 위한 소프트웨어 BOM(Bill of Materials)의 공유 비전(A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity'라는 이름의 새 S-BOM 지침을 마련, 미국시간 3일 발표했다.

S-BOM은 '소프트웨어 자재 명세서(Software Bill of Materials)'로 소프트웨어를 구성하는 모든 구성 요소와 라이브러리, 모듈, 의존성(dependencies) 목록을 체계적으로 정리한 문서를 말한다. 어떤 오픈소스나 서드파티 라이브러리가 포함되어 있는지 알 수 있어 투명성 확보에 중요하고, 이에 취약점이 발견됐을때 해당 라이브러리를 사용하는 모든 제품을 신속히 파악할 수 있어 신속한 보안 사고 대처가 가능하다. 미국, 유럽연합(EU) 등은 소프트웨어 공급망 보안을 강화하기 위해 S-BOM 제공을 요구하는 추세다.

실제 CISA는 새 S-BOM 지침에 대해 "이정표"라면서 "이 이정표는 디지털 공급망 보안에 있어 소프트웨어 투명성의 중요성에 대한 국제적 합의가 커지고 있음을 반영한다"면서 "SBOM은 소프트웨어 '성분 목록' 역할을 해 조직이 구성 요소를 식별하고, 위험을 평가하고, 중요한 시스템을 보호하기 위해 정보에 입각한 조치를 취할 수 있도록 해준다"고 설명했다. 이어 "최신 소프트웨어가 타사 및 오픈 소스 구성 요소에 점점 더 의존함에 따라 SBOM은 취약점을 관리하고 설계에 따른 보안 개발을 지원하는 데 필수적"이라고 덧붙였다.

새 S-BOM 지침은 더 나은 소프트웨어 투명성은 더 나은 의사 결정으로 이어진다면서 권장사항으로 ▲부문과 국경을 초월한 광범위한 SBOM 채택 ▲복잡성과 비용을 줄이기 위한 조화로운 기술 구현 ▲더 나은 위험 관리를 위해 SBOM을 보안 워크플로에 통합 등을 제시했다.

S-BOM 마련에 참여한 세계 15개국 17개 기관들. 우리나라도 국정원과 KISA가 참여했다.

특히 새 지침은 S-BOM 생성, 분석 및 보안 프로세스 및 관행에 대한 공유를 구현할 때의 이점에 대한 정보를 제공, S-BOM 채택이 보안을 개선하고 위험과 비용을 절감한다면서 위험을 해결하기 위한 첫 번째 단계가 투명성을 높이는 것이라고 밝혔다.

또 S-BOM은 조직의 소프트웨어 공급망 및 엔터프라이즈 시스템 전반에 걸쳐 더 큰 가시성을 제공한다면서 "조직은 이러한 투명성을 활용해 위험 관리 관행, 특히 취약성 관리 및 공급망 관리의 효율성을 높이고 소프트웨어 개발 프로세스를 개선하며 조직의 라이선스 관리를 지원할 수 있다"고 제시했다.

공급망의 모든 참가자가 소프트웨어에 대한 SBOM을 가지고 있으면 취약점을 식별하고 대응하는 시간을 크게 줄일 수 있다면서 "S-BOM이 없으면 각 행위자는 취약점이 소프트웨어에 영향을 미친다는 알림을 업스트림 공급업체에 의존해야 한다"면서 "기관들은 소프트웨어 개발 프로세스 전반에 걸쳐 S-BOM을 채택하면 구성요소 관리 비용, 취약성 대응 중 가동 중지 시간, 단종된 구성 요소의 문제를 식별하는 데 필요한 시간을 절감한다"고 설명했다.