오픈소스 무단 사용 문제가 심각해지는 가운데, 한국인터넷진흥원(KISA)은 소프트웨어 자재명세서(SBOM) 기반 실증을 통해 오픈소스 무단 사용 취약점을 90% 수준으로 줄일 수 있다고 주장했다.
이동화 한국인터넷진흥원(KISA) 공급망안전정책팀장은 7일 “오픈소스 활용이 일상화된 개발 환경에서, 구성 요소를 명확히 식별하고 관리하지 못해 심각한 보안 공백이 발생하고 있다”며 “특히 개발자도 모르는 라이브러리가 다수 포함돼 있었고, 취약점 조치가 이뤄지지 않은 채 배포되는 사례가 많았다”고 밝혔다.
KISA는 이런 문제의 핵심 원인을 ‘SBOM 부재’에서 찾는다. SBOM은 소프트웨어를 구성하는 오픈소스·라이브러리·버전·라이선스 등 모든 부품 목록을 기록한 문서로, 제품 제조 과정의 자재명세서와 유사한 개념이다.
KISA는 2023~2024년 공공·의료·보안 기업을 대상으로 SBOM 실증을 진행했다. KISA가 기업별 소프트웨어 내 오픈소스 구성요소를 분석한 결과, 수십만 개의 구성요소 중 일부는 이미 해외에서 실제 악용 사례가 보고된 취약 오픈소스로 확인됐다.
이 같은 결과를 바탕으로 KISA는 올해 처음으로 60억 규모의 ‘SBOM 기반 공급망 보안 모델 구축사업’을 시작했다. 그 중 40억 원은 기업별 ‘SBOM 기반 공급망 보안 관리체계 구축’에, 20억 원은 DevOps·CI/CD 환경 보안 점검에 투입됐다. DevOps·CI/CD는 개발자가 코드를 작성한 뒤 실제 서비스에 배포되기까지의 과정을 자동으로 검사·테스트·배포하는 방식으로, 보안 취약점이 발생하기 쉬운 핵심 구간으로 알려져있다.
KISA측은 한 기업은 SBOM 기반 분석과 패치를 적용한 뒤 취약점이 89.6% 줄어드는 성과를 확인했다고 전했다.
KISA는 내년에도 사업을 확대해 산업별 특성에 맞춘 공급망 보안 모델을 구체화할 계획이다. 의료기기, 교통 인프라, 네트워크 장비 등 SBOM 요구가 증가하는 분야를 중심으로 맞춤형 프레임워크를 제공한다. 또한 ‘공급망 보안 자가진단 체크리스트’를 통해 중소·중견기업도 스스로 보안 수준을 점검할 수 있도록 지원할 예정이다.
글로벌 규제 환경도 SBOM 필요성을 높이고 있다. 유럽연합(EU)은 27년부터 ‘사이버 레질리언스법(CRA)’을 통해 디지털 요소가 포함된 거의 모든 제품에 보안 의무를 부과한다. CRA는 2026년까지 각 회원국이 제품·소프트웨어의 안전성을 검증할 ‘적합성 평가기관’을 지정하고, 2027년 말부터는 기업들이 출시한 제품에서 취약점이 발견될 경우 이를 EU 기관에 보고하도록 규정한다.
미국에서는 2021년 5월 바이든 행정부가 SBOM 제출을 연방조달 소프트웨어의 필수 요건으로 명문화했다. 이 팀장은 “정권 변화와 무관하게 공급망 보안은 국가안보·산업경쟁력 차원의 핵심 의제이기 때문에 각국이 정책을 이어가고 있다”고 설명했다.
이 팀장은 “SBOM은 이제 선택이 아닌 필수 보안 인프라가 되고 있다”며 “산업계 전반이 글로벌 규제 변화에 선제적으로 대응할 수 있도록 지원을 지속하겠다”고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
