미 국방부는 2024년 초까지 대부분의 새로운 소프트웨어 구매 및 개발에 소프트웨어 자재 명세서(SBOM)를 필수적으로 요구할 계획입니다.
SBOM은 소프트웨어가 어떤 구성 요소들로 이루어졌는지를 명확히 보여주는 문서로, 소프트웨어의 투명성을 높이고 보안 취약점을 사전에 파악하는 데 중요한 역할을 합니다.
군 조달 책임자인 더그 부시는 지난 2년 동안 업계로부터 수집한 피드백을 바탕으로 이러한 새로운 규정을 마련했습니다.
특히, 이번 정책은 군 조달 커뮤니티의 소프트웨어 계약 대부분에 SBOM 요구 사항을 적용할 예정이며, 이는 소프트웨어 개발 및 유지보수 시 보다 체계적이고 안전한 운영을 보장하는 데 기여할 것입니다.
다만 클라우드 서비스에 대해서는 예외가 적용되어 SBOM 제출이 요구되지 않으며, 이는 현재로서는 예외로 남겨져 있습니다.
이 예외 사항은 클라우드 서비스의 특성상 소프트웨어 구성 요소를 상세하게 파악하기 어려운 점을 고려한 것으로 보입니다.
이 새로운 규정은 2024년 2월까지 시행될 예정이지만, 그보다 앞서 시행될 가능성도 있습니다.
소프트웨어 자재 명세서 요구 사항이 도입되면 국방부는 소프트웨어의 안정성과 보안성을 더욱 강화할 수 있을 것으로 기대됩니다.
특히, 소프트웨어 공급망에서 발생할 수 있는 보안 취약점을 조기에 발견하여 대처할 수 있는 능력이 크게 향상될 것입니다.
이번 규정은 민간 기업들에게도 중요한 메시지를 전달합니다.
SBOM 요구 사항은 단지 국방부의 규제에 국한되지 않고, 앞으로 소프트웨어 개발 및 공급망 관리의 새로운 표준으로 자리잡을 가능성이 높기 때문에, 많은 기업들이 이를 대비하여 소프트웨어 개발 과정에서 더욱 투명하고 안전한 관리 체계를 구축할 필요가 있습니다.
SBOM을 통해 소프트웨어의 보안성을 높이고 리스크를 최소화하는 노력이, 장기적으로 군뿐만 아니라 민간에서도 중요한 역할을 할 것으로 보입니다.
'즐거운 보안 이야기 > 공급망 보안 뉴스' 카테고리의 다른 글
| 헤즈볼라 호출기와 무전기 폭발 사건: 보안 사고인가, 의도된 공격인가? (1) | 2024.10.08 |
|---|---|
| 국가 차원의 소프트웨어 공급망 보안 강화: TF 가동을 통한 체계적 접근 (0) | 2024.10.08 |
| 클라우드 기반 공격의 거의 절반이 자격증명으로 인해 발생한다 (0) | 2024.07.22 |
| 악성 npm 패키지, 이미지 파일에 백도어 코드를 숨겨 (0) | 2024.07.18 |
| 'Commando Cat' - 노출된 Docker 컨테이너를 노리는 새로운 사이버 공격 (0) | 2024.06.10 |
