1부에서는 머신 스케일 공격, AI 추천의 27.76% 환각률, 라자루스 그룹의 800개 npm 패키지, 자가 복제형 악성코드를 다뤘습니다.
2부에서는 데이터 붕괴와 규제의 시대, 2026년 글로벌 규제 환경 대응 전략을 심층 분석합니다.
1. 취약점 관리의 위기: "보이지 않는 위협"
오늘날 기업들은 공개된 취약점 데이터베이스(NVD)에 의존하고 있지만, 보고서에 따르면 이 데이터 체계는 사실상 붕괴된 상태입니다.
데이터 계층의 부재
- 65%의 공백: 2025년 발견된 오픈소스 취약점(CVE) 중 65%는 NVD에서 CVSS 점수를 할당받지 못했습니다. 즉, 공식 점수만 기다린다면 전체 위협의 3분의 1도 대응하지 못한다는 뜻입니다.
- 심각도 왜곡: 점수가 없는 취약점을 소나타입이 정밀 분석한 결과, 그중 46%가 '높음(High)' 또는 '치명적(Critical)' 수준이었습니다.
- NVD와의 불일치: NVD 점수가 있는 경우라도 소나타입의 분석 결과와 정확히 일치하는 경우는 **4.4%**에 불과했습니다.
권장 사항
보고서는 단순한 공개 데이터 의존에서 벗어나, 데이터 공백을 메울 수 있는 전문적인 독자 인텔리전스를 결합해야 한다고 강조합니다.
2. 전 세계로 확산되는 소프트웨어 규제 (Software Mandate)
2025년은 투명성이 '선택'이 아닌 '의무'가 된 해였습니다. 주요 국가들은 소프트웨어 공급망 보안을 법제화하고 있습니다.
미국 (United States)
- CISA & NIST: 자가 증명(Self-Attestation)과 SBOM 제출이 공공 조달의 필수 요건이 되었습니다.
- 보안 보안 개발 프레임워크(SSDF): 연장된 기한이 다가옴에 따라 미 정부와 거래하는 모든 기업은 NIST SP 800-218 준수 증명을 완료해야 합니다.
유럽 연합 (European Union)
- 사이버 복원력 법안 (CRA): 디지털 구성 요소를 포함한 제품에 대해 '디자인에 의한 보안'과 지속적인 취약점 관리를 강제합니다. 이를 어길 경우 막대한 과징금이 부과될 수 있습니다.
- NIS2: 에너지, 금융, 의료 등 핵심 서비스 제공자가 사용하는 소프트웨어 공급망에 대한 실사를 요구합니다.
3. 우리 조직의 보안 수준은? (성숙도 측정 모델)
보고서는 기업이 스스로의 공급망 보안 수준을 측정할 수 있는 4가지 핵심 지표를 제시합니다.
측정 영역 핵심 메트릭 성숙한 조직의 목표 (Target)
| 투명성 | SBOM 및 출처 증명 보유율 | 신규 릴리스의 90% 이상 |
| 라이선스 | 승인된 라이선스 사용 비율 | 100% (비승인/미식별 0%) |
| 보안 대응 | 취약점 패치 평균 시간(MTTR) | 15일 미만 (치명적 취약점 기준) |
| 증명 | 규제 기준 충족 릴리스 비율 | 80% 이상 |
소프트웨어 자재 명세서(SBOM) 및 증명(Attestation) 형식
4. 실행을 위한 전략: 공급망 거버넌스 구축
보고서의 결론은 명확합니다. 더 이상 수동적인 대응으로는 '머신 스케일'의 위협을 막을 수 없습니다.
- 자동화된 정책 적용: 사람이 일일이 검토하는 것이 아니라, 빌드 단계에서 정책에 어긋나는 컴포넌트를 자동 차단해야 합니다.
- SBOM의 운영화: 단순히 SBOM을 생성하는 것에 그치지 않고, 이를 VEX(Vulnerability Exploitability eXchange) 등과 결합하여 실제 취약점 노출 여부를 동적으로 파악해야 합니다.
- 지속적인 모니터링: 릴리스 시점에만 체크하는 것이 아니라, 사용 중인 오픈소스에서 새로운 취약점이 발견될 경우 즉각 알림을 받을 수 있는 체계를 갖춰야 합니다.
정책의 현실적 구현 방법
다양한 고객 사례와 규제 발전 과정을 지켜본 저희의 경험을 바탕으로, '거버넌스를 통한 컴플라이언스'의 시대에 완전한 규제 준수(및 경쟁력)를 목표로 하는 조직을 위한 권장 플레이북을 소개합니다.
1년 과정의 소프트웨어 컴플라이언스 플레이북
거버넌스 자동화, 이제는 생존을 위한 필수 선택입니다
지금까지 살펴본 것처럼, 2026년의 소프트웨어 보안은 단순히 취약점을 찾아내는 단계를 넘어섰습니다. NVD 데이터의 65%가 점수조차 할당받지 못하는 '데이터 붕괴'의 현실 속에서, 공개 데이터에만 의존하는 수동적인 보안은 더 이상 유효하지 않습니다. 이제는 '정책'이 문서에 머물지 않고 '코드'와 '워크플로'로 구현되어야 하는 시대입니다.
미국과 유럽을 중심으로 강화되는 글로벌 규제는 우리에게 명확한 메시지를 던지고 있습니다. 투명성은 이제 소프트웨어 공급망에서 신뢰를 구축하는 새로운 기준입니다. 규제를 조달의 걸림돌이 아닌, 품질과 신뢰를 증명하는 경쟁 우위로 전환해야 합니다.
더 나은 오픈소스 소프트웨어 거버넌스에 대해 알고 싶다면 여기로 문의주세요.
원문 출처:
State of Software Supply Chain 2026
Trust At Machine Scale: The Commons, the Threats, and AI in the Loop
참고 링크:
