염흥열 교수 "안전한 SW 공급망 필수…망 내부 훤히 보여야"
"최근 개별 소프트웨어(SW)뿐 아니라 SW 공급망 보안 중요성이 커졌습니다. 국내 정부도 공급망에 소프트웨어 자재 명세서(SBOM)를 의무화해야 합니다. SBOM이 SW 개발부터 유지·운영 환경 안전성을 획기적으로 높일 것입니다." 순천향대 염흥열 명예교수는 6일 서울 강남 섬유센터에서 열린 '제14회 SW 개발보안 컨퍼런스'에서 "SW 공급망 보안에 SBOM은 필수"라고 강조했다. SBOM은 SW에 포함된 모든 구성 요소 목록을 나타내는 문서다. SW 제품 투명성을 높이고 보안 취약점을 효과적으로 관리하기 위해 사용된다. SBOM에는 라이선스 정보와 버전 번호, 구성 요소, 세부 정보, 공급업체 등에 대한 정보가 있다. 염흥열 교수는 "기업·개발자는 SBOM의 제품 구성 요소 가시성을 통해 SW 취약점을 스캔하거나 위협 대처를 원활히 할 수 있다"고 강조했다. "SBOM, SW 개발자·운영자·구매자 모두 도와" 염흥열 교수는 SBOM이 SW 개발자와 운영자, 구매자에게 기술적 이점을 제공한다고 주장했다. 염 교수는 "개발자는 SBOM을 통해 사용 중인 SW 구성 요소가 최신 버전인지 확인할 수 있다"며 "SW가 어떻게 이뤄져 있는지 미리 파악함으로써 보안 취약점에 신속하게 대응할 수 있다"고 설명했다. 이를 통해 개발자는 개발 과정에서 효율성을 높이고 제품 안정성을 올릴 수 있는 셈이다. 또 구매자는 SBOM을 통해 구입한 SW 제품이 어떻게 구성됐는지 투명하게 확인할 수 있다. 이에 잠재적인 취약점을 미리 파악할 수 있다. 염 교수는 "제품 라이선스 정보를 명확하게 이해할 수 있다"며 "라이선스 위반 등 법적 위험까지 줄일 수 있다"고 설명했다. 이어 "운영자도 SBOM으로 운영 중인 SW 특정 모듈에서 보안 취약점을 사전에 파악할 수 있다"며 "안정적인 시스템 운영과 보안 관리를 원활히 할 수 있을 것"이라고 덧붙였다. 또 그는 "결과적으로 SBOM은 SW의 투명성, 책임성, 신뢰성을 높임으로써 제품 개발부터 운영까지 전 과정에 다양한 이점을 제공한다"고 강조했다. "美·EU, SBOM 적용 활발…韓도 의무화해야" 염 교수는 미국과 유럽연합(EU)처럼 국내 정부도 SBOM을 공급망 위험 관리 핵심 요소로 다뤄야 한다고 주장했다. 실제 조 바이든 미국 대통령은 2021년 사이버 보안 역량 강화를 위한 행정명령을 발표했다. 바이든 대통령은 연방 정부에 납품되는 모든 SW에 SBOM 적용을 의무화했다. 미국 국립표준기술연구소(NIST)도 안전한 SW 개발 환경에 대한 표준 절차와 기준을 산업계에 요청한 바 있다. 이에 미국 SW 공급자들은 해당 표준을 준수하고 있음을 증명해야 한다. EU도 사이버 회복력 법(Cyber Resilience Act)을 통해 SBOM 도입을 추진하고 있다. 이 법안은 최근 EU 의회를 통과했다. 이에 모든 디지털 기기에 포함된 SW에 SBOM을 의무화할 예정이다. 염 교수는 "미국과 EU는 SOBM을 통해 SW 구성 요소 취약점을 신속하게 식별·대응함으로써 전체적인 사이버 보안을 강화하고 있다"고 말했다. 이와 관련해 국내 정부도 올해 5월 SW 공급망 보안 가이드라인을 발표하긴 했다. 다만 이를 의무화하진 않은 상태다. 염 교수는 "글로벌 사회는 SW 공급망 보안을 중요하게 본다"며 "이에 발맞춰 국내 정부도 SBOM 의무화를 적극 추진해야 한다"고 강조했다.
