본문 바로가기
POST/Insight

SBOM을 위한 혁신 인사이트

장수영2 2024. 12. 17. 06:00

 

SBOM을 통한 소프트웨어 공급망 보안 및 컴플라이언스를 개선하는 방법

 

소프트웨어 공급망 보안이 점점 더 중요해지는 현대 IT 환경에서, 소프트웨어 구성 요소 목록(Software Bill of Materials, SBOM)은 기업의 보안과 컴플라이언스를 강화하는 핵심 도구로 부상하고 있습니다. 이 글에서는 SBOM의 정의와 글로벌 트렌드, 그리고 국내 기업이 준비해야 할 사항들을 살펴보겠습니다.

 

SBOM은 소프트웨어 공금방에서 상용 및 오픈소스 코드에 대한 가시성, 투명성, 보안 및 무결성을 개선할 수 있지만, SBOM의 제대로된 활용을 위해서는 소프트웨어 배포 라이프사이클 전체에 통합되어 있어야 합니다. 가트너가 최근 발표한 보고서 ‘SBOM을 위한 혁신 인사이트’에서 2025년 중요한 인프라를 위한 소프트웨어를 구축 또는 구매하는 조직의 60% 이상은 표준화된 SBOM을 소프트웨어 엔지니어링 관행에 도입하는 것을 의무화할 것으로 조사되었습니다. 이는 2022년 대비 20% 증가된 조사 결과입니다.

 

조사된 바에 따르면, 감사된 코드의 75%가 알려진 취약점이 포함된 오픈소스 구성요소를 포함하고 있습니다. 더욱이 91% 코드는 지난 2년간 기능 업그레이드, 코드 개선, 보안 이슈 개선이 되지 않은 오픈소스 의존성을 포함하고 있는 것으로 밝혀졌습니다.

 

보안 및 라이센스 컴플라이언스 위험을 최소화하기 위해 SBOM을 DevSecOps 파이프라인에 통합하여 3가지 효과를 얻을 수 있습니다.

 

  • 모든 소프트웨어 제품에 대한 SBOM 생성
  • 소비된 오픈소스와 상용 소프트웨어의 SBOM 검증 자동화
  • SBOM 데이터를 이용하여 배포 전과 이후 지속적으로 보안과 컴플라이언스 위험 검증

 

이미지 출처: Gartner, Innovation Insight for SBOMs

 

 

SBOM의 정의

SBOM은 소프트웨어 패키지와 그 구성 요소를 고유하게 식별하는 기계 판독 가능한 공식 메타데이터입니다. 이는 오픈 소스 또는 독점 소프트웨어 구성 요소를 모두 포함하며, 소프트웨어 공급망 관계에 대한 세부 정보를 추적하고 공유하도록 설계되었습니다.

 

SBOM 표준 형식은 3가지가 있습니다.

 

  1. Software Package Data Exchange (SPDX) - 리눅스재단 감독하에 개발된 표준으로 ISO 표준 (ISO/IEC 5962:2021). 오픈소스와 상용 서비스로 구성된 풍부한 생태계가 SPDX를 지원. 깃허브 리포지토리의 SBOM 생성 및 소비에 대한 예제 참조 가능.
  2. Software Identification (SWID) - 미국 국립표준기술연구소 (National Institute ofStandards and Technology (NIST))가 지원한 프로젝트로 상세내역은 ISO/IEC 19770-2:2015 표준에 정의되어 있음. NVD의 취약성 데이터셋과 SWID 태그 데이터를 연동하는 작업이 진행되며, SWID 태그 데이터를 SCAP와 통합함.
  3. CycloneDX - 경량 SBOM 표준으로 앺프리케이션 보안 문맥과 공급망 구성요소 분석을 위해 개발됨. Open Web Application Security Project (OWASP) 커뮤니티가 전략과 유지보수를 담당하며, 깃허브 리포지토리에 SBOM을 다양한 개발언어로 생성, 소비할 수 있는 도구를 제공

SBOM은 다음과 같은 핵심 정보를 포함합니다:

  • 공급업체 이름
  • 구성 요소 이름
  • 구성 요소 버전 
  • 기타 고유 식별자
  • 종속성 관계
  • SBOM 데이터 작성자
  • 타임스탬프

이러한 정보를 통해 조직은 소프트웨어 구성 요소의 출처와 관계를 명확히 파악할 수 있습니다.

SBOM 사용의 혜택

1. 보안 개선 및 컴플라이언스

 

유럽과 미국의 규제당국은 SBOM을 정부 기관과 산하의 연관 조직과의 업무를 진행하는 모든 기업에게 필수 사항으로 의무화하고 있습니다. 이런 규제의 목표는 보안 위험과 취약성에 대한 노출 정도를 조직이 정확하게 판단/결정할 수 있도록 소프트웨어 구성요소와 의존성에 대한 더 나은 가시성을 제공하기 위함입니다.

 

2. 소프트웨어의 가시성 및 추적성 개선

 

소프트웨어 엔지니어링 팀에게 어떻게 소프트웨어가 빌드 되었는지, 어떤 구성요소가 사용되었는지, 얼마나 빨리 보안 취약점을 파악하고 수정할 수 있는지에 대한 가시성을 높여줍니다. 구성요소 내의 취약점이 발편되면 SBOM을 활용하여 영향을 받는 구성요소를 빠르게 파악할 수 있으며, 이로 인한 잠재적 영향력과 위험에 대한 정보를 확인할 수 있습니다.

 

3. 데이타 공유 개선

 

SPDX, SWID 및 CycloneDX는 공통된 인프라와 데이타 교환 형식을 구축하여 소프트웨어 패키지에 대한 상세 내용을 공유하기 쉽도록 합니다. 표준화된 형식은 조직간의 더 원활한 협업을 유도하며 중복된 작업을 제거하여 시간을 절약합니다.

 

SBOM은 정적 문서가 아니라는 점입니다. 구성요소의 모든 신규 릴리스에 대해 새로운 SBOM이 생성되어야 합니다. SBOM에 대한 해당 변경 없이 신규 구성요소를 릴리스하고 소비하는 것은 큰 위험이 따릅니다. SBOM 생성과 관리 도구의 성능이 광범위한 도입에 영향을 미칠 것이며, 조직은 SBOM 기능을 소프트웨어 개발, 패키징 및 배포 활동에 통합해야 할 필요가 있으며SBOM을 자산 관리 시스템의 중요한 부분으로 받아들여야 합니다.

글로벌 트렌드

SBOM의 중요성은 전 세계적으로 인식되고 있으며, 특히 규제 기관들이 SBOM 도입을 적극적으로 추진하고 있습니다. 

 

  1. 규제 강화: 미국의 FDA, FERC, 유럽의 ENISA 등 주요 규제 기관들이 정부 기관 및 규제 대상 조직과 거래하는 모든 조직에 SBOM을 필수 제출 사항으로 요구하고 있습니다. 이는 소프트웨어 구성 요소와 종속성에 대한 가시성을 높여 보안 위험을 정확히 파악하기 위함입니다.
  2. 보안 사고 대응: 2021년 Log4Shell 취약점 사례에서 볼 수 있듯이, SBOM은 취약한 소프트웨어 구성 요소를 신속하게 식별하고 위험을 완화하는 데 중요한 역할을 합니다. 이러한 신속한 대응 능력은 보안 사고의 영향을 최소화하는 데 필수적입니다.
  3. 표준화 노력: SPDX, SWID, CycloneDX 등 SBOM 표준이 개발되고 있으며, 이 중 SPDX는 ISO 표준(ISO/IEC 5962:2021)으로 채택되었습니다. 이러한 표준화는 조직 간 SBOM 데이터 교환과 상호 운용성을 촉진합니다.
  4. 자동화 도구 발전: SBOM 생성, 검증, 관리를 자동화하는 다양한 오픈 소스 및 상용 도구들이 개발되고 있습니다. 이는 SBOM의 광범위한 채택을 가능케 하는 중요한 요소입니다.

국내 기업이 준비해야 할 사항

글로벌 트렌드에 발맞춰 국내 기업들도 SBOM 도입을 위한 준비가 필요합니다. 다음은 국내 기업이 중점적으로 준비해야 할 사항들입니다:

 

  1. SBOM 생성 및 관리 프로세스 구축: 소프트웨어 개발 라이프사이클 전반에 걸쳐 SBOM을 생성, 검증, 업데이트하는 프로세스를 구축해야 합니다. 이는 모든 새로운 빌드나 릴리스마다 SBOM이 자동으로 생성되고 검증되도록 하는 것을 포함합니다.
  2. 표준 SBOM 포맷 채택: SPDX, SWID, CycloneDX 등 국제 표준에 부합하는 SBOM 포맷을 채택해야 합니다. 이는 파트너사, 고객, 규제 기관과의 원활한 정보 교환을 가능케 합니다.
  3. 취약점 관리 체계 개선: SBOM을 활용하여 소프트웨어 구성 요소의 취약점을 신속하게 식별하고 평가할 수 있는 체계를 구축해야 합니다. 이는 보안 위험을 사전에 파악하고 신속하게 대응하는 데 필수적입니다.
  4. 컴플라이언스 관리 강화: SBOM을 통해 소프트웨어 라이선스 준수 여부를 쉽게 확인하고 관리할 수 있습니다. 특히 오픈 소스 사용이 증가하는 추세에서 이는 매우 중요합니다.
  5. 공급망 투명성 확보: SBOM을 통해 소프트웨어 공급망의 모든 구성 요소와 그 출처를 명확히 파악할 수 있습니다. 이는 잠재적인 보안 위험을 식별하고 관리하는 데 도움이 됩니다.
  6. 교육 및 인식 제고: 개발자, 보안 전문가, 경영진 등 조직 전반에 걸쳐 SBOM의 중요성과 활용 방법에 대한 교육을 실시해야 합니다.
  7. 자동화 도구 도입: SBOM 생성, 관리, 분석을 자동화할 수 있는 도구를 도입해야 합니다. 이는 SBOM 관리의 효율성과 정확성을 높이는 데 중요합니다.

Sonatype 제품을 선택해야 하는 이유

SBOM 관리와 소프트웨어 공급망 보안을 위해 Sonatype 제품을 선택하는 것은 다음과 같은 이점을 제공합니다:

 

  1. 포괄적인 SBOM 지원: Sonatype의 Nexus 플랫폼은 SBOM 생성, 관리, 분석을 위한 종합적인 기능을 제공합니다.
  2. 고급 취약점 분석: Sonatype의 소프트웨어 구성 분석(SCA) 도구는 SBOM 데이터를 활용하여 심층적인 취약점 분석을 수행합니다.
  3. 자동화된 정책 적용: Sonatype 제품은 SBOM 데이터를 기반으로 보안 및 라이선스 정책을 자동으로 적용할 수 있습니다.
  4. 실시간 모니터링: Sonatype의 솔루션은 지속적으로 새로운 취약점과 위협을 모니터링하여 실시간 보안 인사이트를 제공합니다.
  5. 산업 표준 준수: Sonatype은 SPDX, CycloneDX 등 주요 SBOM 표준을 지원하여 규제 준수를 용이하게 합니다.
  6. 확장성: Sonatype의 솔루션은 대규모 엔터프라이즈 환경에서도 원활하게 작동할 수 있는 확장성을 제공합니다.
  7. 전문성과 신뢰성: Sonatype은 소프트웨어 공급망 보안 분야의 선도적인 기업으로, 풍부한 경험과 전문성을 바탕으로 신뢰할 수 있는 솔루션을 제공합니다.

결론적으로, SBOM은 소프트웨어 공급망 보안과 컴플라이언스 관리의 핵심 요소로 자리잡고 있습니다. 국내 기업들은 글로벌 트렌드를 주시하며 SBOM 도입을 위한 체계적인 준비를 해야 합니다. Sonatype과 같은 전문 솔루션을 활용하면 SBOM 관리와 소프트웨어 공급망 보안을 효과적으로 강화할 수 있을 것입니다.

 

 

 

원문출처:

Gartner Report: Innovation Insight for SBOMs

Gartner report: How SBOMs improve security and compliance in the software supply chain

Gain visibility and traceability of your software supply chain with SBOMs with new Gartner® report

 

 

 

참고링크: 

SBOM 톺아보기 - SBOM의 구성요소, 표준 및 포맷

[오픈테크넷 2024] OSC코리아 “개발 보안 핵심은 오픈소스 거버넌스 자동화”

Sonatype, 2년 연속 포레스터 웨이브 SCA 리더로 선정

 

저작자표시 비영리 변경금지

'POST/Insight' Related Articles

티스토리툴바