“2026년은 SW 공급망 보안 패러다임 전환의 해”

전익찬 레드펜소프트 부사장

정책: ‘권고’에서 ‘제도’로

• 가장 강력한 도입 동인, ‘컴플라이언스’: 2024년 연구에 따르면 SI 기업의 100%, SW 벤더의 75%가 SBOM 도입의 핵심 동기로 규제 대응을 꼽을 만큼 정책적 변화가 시장을 움직이고 있습니다.
• 글로벌 규제 의무화: 미국은 연방정부 납품 시 SBOM 제출을 이미 의무화했으며, EU는 사이버 복원력법(CRA)을 통해 모든 디지털 제품에 SBOM 작성을 강제하고 있습니다.
• 국내 제도화 가속: 우리 정부 역시 2027년까지 공공분야 IT 시스템 및 SW 제품에 대한 SBOM 제출 제도화를 선언했습니다. 조만간 획득·조달 전반에 대한 구체적인 지침이 제시될 예정입니다.
• 취약점 공격 급증에 따른 필연적 선택: 초기 공격의 약 21%가 SW 취약점을 통해 시작되고, 신규 취약점(KEV) 등록 건수가 매년 급증함에 따라 SBOM은 이제 선택이 아닌 시장 진입을 위한 필수 '전제조건'이 되었습니다.

시장과 기술: SBOM은 ‘도구’가 아니라 ‘영역’

• 시장의 전문화 및 세밀화: 과거에는 'SBOM 도구'를 단일 범주로 보았으나, 이제는 활용 주체와 SW 라이프사이클 단계에 따라 각기 다른 형태와 역할을 요구하는 전문 영역으로 진화하고 있습니다.
• ‘운영 환경의 SBOM’ 부상: 단순히 설치 목록을 나열한 'Deployed SBOM'만으로는 실제 공격 표면을 정확히 파악하기 어렵습니다. 이에 따라 실제 보안 위협에 즉각 대응할 수 있는 운영 단계의 SBOM이 중요해지고 있습니다.
• 정적 스캔에서 ‘지속적 검증’으로: 2026년을 기점으로 특정 시점의 점검에 의존하는 정적 스캔 방식에서 벗어나, SW 공급망 전체 라이프사이클을 실시간으로 확인하는 지속적 검증(Continuous Verification) 모델로 전환될 전망입니다.
• ‘살아있는 아티팩트’로서의 기능: SBOM은 단순한 규정 준수용 문서가 아닙니다. 특히 런타임 환경에서 측정된 데이터는 실제 위험을 평가하는 데 필수적인 맥락 정보를 제공하며, 보안 사고 발생 시 즉각적인 답변을 가능하게 합니다.

운영: 취약점 관리 패러다임 전환

• AI 기반 자동화로 ‘보안 피로’ 해결: 쏟아지는 취약점 데이터로 인한 혼란을 줄이기 위해 AI 에이전트가 도입됩니다. 이를 통해 실제 위험도가 높은 항목을 우선 식별하고, 패치 가이드와 완화 방안을 자동으로 제시받을 수 있습니다.
• VEX를 통한 보안 ‘소음’ 제거: 취약점의 실제 영향 여부를 알려주는 표준 데이터 포맷인 VEX(Vulnerability Exploitability eXchange)가 확산됩니다. 이는 SBOM이 만든 방대한 정보 중 실제 대응이 필요한 대상만 걸러내는 판정 정보 역할을 합니다.
• 런타임 SBOM과 VEX의 시너지: '라이브러리는 존재하지만 실행되지는 않음'과 같은 실시간 정보를 제공하는 런타임 SBOM은 VEX의 신뢰도를 높이고 자동 생성을 가능하게 하는 핵심 근거가 됩니다.
• 운영 프로세스로의 통합: SBOM은 단순한 도구 도입을 넘어 자산관리, SIEM, 위협 인텔리전스와 연계되어야 합니다. 가트너가 강조하듯 SBOM은 그 자체가 목적이 아닌, 지속적인 취약점 완화를 위한 전체 보안 프로세스로 자리 잡아야 합니다.

---

자세한 내용은 [“2026년은 SW 공급망 보안 패러다임 전환의 해” - 데이터넷]을 통해 확인하실 수 있습니다.