미국 연방정부의 SBOM 의무화
미국 연방정부는 2021년 5월 행정 명령을 통해 연방정부와 사업 계약을 맺은 기업에게 소프트웨어 재료 명세서(SBOM)의 제출을 의무화했습니다.
SBOM은 소프트웨어의 구성요소뿐만 아니라 오픈소스 및 라이선스 요소와 같은 저작권 정보를 제공하며, 사업 운영의 안전성과 보안 관련 리스크 파악을 돕는 역할을 합니다.
이러한 변화로 인해 기업들은 소프트웨어 공급사로부터 더 높은 투명성을 기대할 수 있게 되었습니다.
SBOM은 소프트웨어 재료명세서(BOM)의 약어로, 제조 부문에서 사용되는 구성요소와 재료를 파악하는 데 중요한 역할을 합니다.
마치 음식을 구매하면 원재료를 모두 표기되어 있는 것처럼 소프트웨어도 모두 명시하라는 뜻인데요
이를 통해 특정 소프트웨어에 사용된 전용, 오픈소스, 라이선스 요소에 만료되거나 불안정한 요소가 있는지 확인할 수 있게 되었습니다.
SBOM의 표준 포맷으로는 SPDX, 사이클론 DX 및 SWID태그 등이 있고, 각각의 포맷은 역할과 목적에 따라 조금씩 차이가 있습니다.
현재 리눅스 재단이 관리하는 SPDX, OWASP의 사이클론DX 등 몇 가지 데이터 포맷이 SBOM과 유사한 역할을 하고 있으며, 일부 기업은 SBOM과 유사한 명세서 체계를 개발하고 사용하고 있습니다.
그러나 어떤 표준이 제정되든 업계는 이를 준수할 가능성이 높으며, SBOM의 광범위한 채택이 필요하다고 강조되고 있습니다.
SBOM은 현재의 소프트웨어 구성요소를 파악하는 것뿐만 아니라 미래적인 요소까지 보여주는 장점이 있으며 이를 통해 많은 리스크를 피하고, 해킹 등의 보안 이슈를 방지할 수 있습니다.
SBOM은 모든 보안 문제를 해결해 주는 것은 아니지만, 잠재적인 보안 위협을 파악하고 벤더에 대한 기대치를 양질로 변화시킬 수 있습니다.
SBOM을 사용하는 사람이 더 많아질수록 클라우드 벤더들은 자사 서비스의 안정성을 강화해야 할 압박을 받을 것으로 예상되는 한편, 소프트웨어 업계에서는 SBOM의 사용자 수가 증가함에 따라 보안 위협 인식과 효과적인 대응, 고객의 기대치 향상 등 긍정적인 영향을 기대하고 있습니다.
SBOM(소프트웨어 재료 명세서)의 제출이 미국 연방정부에서 의무화되면서 소프트웨어 업계는 표준화된 포맷의 필요성과 선택의 고민을 직면하게 되었습니다.
어떤 표준이 선택되더라도 업계는 표준 준수와 운영 비용, 역량 차이와 같은 과제를 해결해야 합니다.
그러나 이러한 변화는 보안 관련 리스크 파악과 사업 운영의 안전성을 높여주는 긍정적인 영향을 가질 것으로 전망됩니다.
SBOM의 활용자 수가 증가하면서 보안 위협에 대한 인식과 대응 능력이 향상되며, 고객들의 기대치 또한 높아질 것으로 예상되며, 소프트웨어 업계는 이러한 변화에 적극적으로 대응하고, 표준 준수와 체계적인 감사, 문서화를 통해 보다 안전하고 신뢰할 수 있는 소프트웨어 생태계를 구축해 나갈 필요가 있습니다.
'즐거운 보안 이야기 > 공급망 보안 뉴스' 카테고리의 다른 글
| TSMC, 써드파티 소프트웨어를 통한 해커 공격으로 공급망 보안 위협 받다 (0) | 2023.07.06 |
|---|---|
| 미군에게 우편으로 보내진 의심스러운 스마트워치 사건 (0) | 2023.06.28 |
| [Google Play] 60개 모바일 앱에 침투, 1억회 이상의 다운로드된 악성코드 (0) | 2023.05.22 |
| 소프트웨어 공급망 보안에서 해야 할 일과 하지 말아야 할 일 (0) | 2023.05.04 |
| 2023년 소프트웨어 공급망 보안 전망 뉴스 (1) | 2023.05.02 |
