[기획기사]오픈소스 소프트웨어 공급망 보안 정책의 중심 ‘SBOM’

SBOM의 체계적 도입 돕는 미 바이든 정부

SBOM은 소프트웨어의 구성 컴포넌트에 관한 메타정보 목록이다. 마치 식품 원재료표 같이 소프트웨어에 어떤 요소가 포함됐고 누가 만들었는지에 대한 정보를 확인하고 추적하기 위해 만든 제도다. SBOM의 궁극적인 목표는 보안 강화이다. 소프트웨어 개발 과정에서 다양한 코드와 구성 요소가 활용될 수 있기에 이를 신속히 대응하기 위해 미리 소프트웨어의 구성 요소를 파악할 수 있는 기반을 만들자는 것이다. 점점 복잡해지는 소프트웨어 공급망 환경에서 SBOM은 소프트웨어의 보안성과 투명성을 크게 향상시키는 데 기여할 수 있다.

[그림] SBOM 구조

* 출처: KISA 보고서 https://ccs.korea.ac.kr/pds/KISA21.pdf

SBOM이란 개념 자체는 2018년 미국의 국가사이버보안센터(National Telecommunications and Information Administration, NTIA)가 사용하면서 알려지기 시작됐다. 그리고 2021년 미국 조 바이든 대통령이 행정명령(Executive Order, EO) 14028를 통해 SBOM 필요성을 알리면서 보안 업계 전체가 관심을 갖게 됐다. 당시 바이든은 행정명령으로 SBOM의 기본 원칙과 실행 방안에 대해서 언급했으며, 이와 관련된 실무 작업을 할 담당 기관을 CISA(Cybersecurity and Infrastructure Security Agency)와 NIST(National Institute of Standards and Technology)로 구체적으로 명시했다. 실제로 현재 두 기관이 SBOM과 관련된 여러 후속 작업을 진행하고 있다.

일단 CISA는 오픈소스 소프트웨어 보안의 감독 및 관리를 책임지고 있다. 2023년 3월 공개된 ‘오픈소스 소프트웨어 보안법(Securing Open Source Software Act of 2023)¹⁾’에서는 CISA의 역할을 보다 구체적으로 지정해 주었다. 이 법은 연방 시스템과 중요한 인프라에서 사용되는 오픈소스 소프트웨어와 관련된 취약성을 해결하는 법적 근거를 만들기 위해 제안된 것으로 아직 최종 발효되진 않았다.

해당 법안에 따르면, CISA의 주요 역할은 SBOM 표준화를 추진하고 연방 기관에서 사용되는 오픈소스 소프트웨어의 취약성을 식별하고, 공공 소프트웨어 개발 생애 주기에서 오픈소스 소프트웨어의 안전한 사용과 배포를 지원하는 것이다. 이외에 오픈소스 소프트웨어 보안과 관련된 공공 연락 창구 기능을 맡고, 민간 부문과의 협력해 장기적 관점에서 업계 전체 보안성을 높이는 업무도 수행해야 한다.

CISA는 해당 법안과 별개로 2023년 9월 ‘오픈소스 소프트웨어 보안 로드맵(Open Source Software Security Roadmap)’을 발표하고 오픈소스 소프트웨어의 보안을 강화하기 위한 전략적 목표와 구체적인 계획을 제시했다. 이 로드맵에 따르면, CISA는 앞으로 오픈소스 사용의 범위와 위험 요소를 이해하기 위한 프레임워크 및 오픈소스 프로그램 사무소(OSPO) 운영 가이드를 개발할 예정이다. 그뿐만 아니라 SBOM를 발전시켜 오픈소스 소프트웨어 생태계를 키우고 공공 및 민간 영역에 모범 사례 교육을 지원하겠다는 계획도 소개했다.

NIST는 이미 보안성을 높이기 위한 소프트웨어 개발 지침인 ‘SSDF(보안 소프트웨어 개발 프레임워크)’를 공개하고 SBOM 표준화 작업에 기여하고 있다. SSDF에선 SBOM을 생성하고 유지하는 구체적인 방법을 제공하고 있다.

CISA와 NIST 외에도 타 기관도 SBOM을 활용해 보안성을 높이려고 시도하고 있다. 미국 교통부 산하 국가 고속도로 교통 안전국(NHTSA)는 차량의 사이버 보안을 강화하기 위해 ‘최신 차량의 안전을 위한 사이버 보안 모범 사례(Cybersecurity Best Practices for the Safety of Modern Vehicles)’를 2022년 9월에 발표했다. 해당 문서에서는 NHTSA는 차량 제조업체가 소프트웨어 인벤토리 관리와 투명성을 확보하기 위해 SBOM을 활용하고, 오픈소스 소프트웨어 사용 시 철저한 보안 검토와 취약점 관리를 수행할 것을 권장하고 있다.

백악관의 국가 사이버 디렉터실(Office of the National Cyber Director, ONCD)는 2023년 3월 ‘국가 사이버 보안 전략(National Cybersecurity Strategy)’에서 오픈소스 보안 전략을 간단히 언급했다. NCS 자체는 바이든 정부에서 진행하려는 전반적인 사이버 보안 전략을 다루고 있는데 공급자들이 안전한 개발 관행을 따를 수 있도록 SBOM을 활용하라고 권장했다.

유럽, 캐나다, 아시아로 퍼지는 SBOM

최근에는 미국 외에도 여러 국가에서 SBOM 지원하는 사례를 종종 볼 수 있다. 먼저 유럽연합(EU) 집행위원회가 2022년 9월 사이버 복원력 법(Cyber Resilience Act, CRA)를 제안하고 SBOM 관련 지원을 시작했다. 이 법은 디지털 제품과 서비스의 보안을 강화하고, 유럽 내에서 사이버 보안의 일관성을 높이기 위한 방안을 소개하고 있다.

CRA에서 SBOM은 규정 준수를 입증하고 측정하는 핵심 문서로 묘사되고 있다. 또한 SBOM 제공 대상은 공공과 민간을 구분하지 않고 유럽 내 유통되는 모든 제품으로 규정하고 있다. 미국 정부가 SBOM을 공공 기관과 거래하는 소프트웨어에만 요구하는 것과 비교했을 때 적용 범위가 더 넓다고 볼 수 있다. 규제 강도도 더 높은 편인데, CRA의 필수 사이버 보안 요건이나 책임 의무를 준수하지 않을 경우, 최대 1,500만 달러 ²⁾ 이상의 벌금이 부과될 수 있다. 물론 CRA는 아직 최종 발효되지 않은 법률이기에 이런 제약 사항이 당장 적용되지 않는다. 현재로선 오픈소스 보안과 관련한 EU 당국의 방향성 정도만 CRA로 파악할 수 있다.

보안 기업 Sonatype(소나타입)은 공급망 분석 보고서³⁾를 통해 CRA의 강도 높은 규제로 인해 “많은 오픈소스 프로젝트와 심지어 오픈소스 소프트웨어 배포자들에게 CRA은 걸림돌로 작용할 수 있다”라며 “EU 시장에 대한 접근성을 낮출 수 있다. 일부 경우에는 오픈소스 소프트웨어에 대한 참여를 EU 내에서 완전히 억제할 수 있다”라고 분석하기도 했다.

캐나다 정부도 공급망 보안에 적극 대처하려는 노력을 진행 중이다. 캐나다 당국의 사이버 보안 전문 기관인 사이버 보안 센터(Canadian Centre for Cyber Security)는 2023년 2월 ‘소프트웨어 공급망 위협으로부터 조직 보호(Protecting Your Organization from Software Supply Chain Threats)’라는 문서를 발표하며 SBOM의 중요성⁴⁾을 따로 언급했다. 단 해당 문서는 소프트웨어 공급망 공격에 대응하기 위해 종합적인 지침과 모범 사례를 제공하기에 SBOM과 관련된 구체적인 가이드라인은 지원되지 않았다.

한국 정부도 2024년 5월 ‘소프트웨어 공급망 보안 강화’ 가이드라인을 공개하고 국내 공공 및 민간 기관이 SBOM 기반으로 소프트웨어 공급망 보안을 높일 수 있도록 지원했다. 과학기술정보통신부·국가정보원·디지털플랫폼정부위원회 등이 참여해 민관 협력을 기반으로 만들어진 해당 가이드라인은 구체적인 활용 방안을 제시하고 있다. 미리 국산 소프트웨어에 대한 SBOM 실증 및 소프트웨어 공급망 보안 테스트베드 시범 운영하고 관련 결과를 가이드라인에 반영했다. 정부는 올해 하반기에 산·학·연 전문가들이 참여하는 범정부 합동TF를 구성해 세부적인 정부지원 방안, 제도화 추진방향 등에 대한 논의를 진행한 뒤 소프트웨어 공급망 보안 로드맵을 마련하겠다고 밝혔다.

SBOM의 지원과 확산을 위한 국제적 협력도 진행되고 있다. 2023년 5월 미국, 일본, 인도, 호주 당국은 협력해 ‘쿼드 사이버시큐리티 파트너십(Quad Cybersecurity Partnership)⁵⁾ 을 출범시켰다. 쿼드 참여국은 해당 파트너십을 통해 소프트웨어 공급망의 보안 강화하고 사이버 위협에 대한 공동 대응 능력을 높이고 국제적인 사이버 보안 표준 수립에 투자할 계획이다. 쿼드가 제시한 보안 원칙에선 ’소프트웨어 구성 요소를 조작과 무단 접근으로부터 보호하기 위해, 소프트웨어 개발자와 공급업체가 SBOM 등을 활용해 구성 요소의 세부 사항과 및 공급망 관련된 정보를 적절하게 기록해야 한다‘고 명시하고 있다.

한국공개소프트웨어협회 김택완 회장은 "소프트웨어 구성요소에 대한 투명성을 제고하기 위해 가까운 시일 내에 미국, EU, 일본 등 대부분의 국가에서 소프트웨어 또는 소프트웨어를 포함하는 상품의 공급, 유통 시 SBOM 제출은 의무화가 될 것이다" 라며 "기업들은 소프트웨어 개발 시 오픈소스 라이선스 및 보안취약점 등 오픈소스 구성 요소를 파악하는 것이 중요하며, 이를 통한 SBOM 관리는 IT 및 비 IT 기업 모두 비즈니스에서 반드시 필요한 절차가 될 것이다“라고 강조하였다.

SBOM에 대응하는 기업의 노력

각국의 정부가 SBOM을 확산하려는 노력이 지속되자, 기업 차원에서 SBOM에 본격 대응하려는 움직임이 늘고 있다. 특히 미국에선 빅테크 및 대형 기업을 중심으로 SBOM에 적극 대응하고 있다. 가령 마이크로소프트는 2019년부터⁶⁾, 구글은 2022년부터⁷⁾ SBOM를 도입하고 있으며, 두 기업은 SBOM과 관련한 오픈소스 도구도 직접 공개하기도 했다. 이외에도 시스코 ⁸⁾ , IBM⁹⁾ , 어도비¹⁰⁾ 등이 SBOM을 도입하고 있다.

현실적으로 대형 기업이 아닌 중소 기업은 SBOM 도입에 어려움을 겪을 수 있다. SBOM 구현에는 내부 전문성이 필요하지만, 적합한 인력을 보유한 기업은 드물기 때문이다. 예를 들어 SBOM을 도입하려는 기업은 CycloneDX, SPDX, SWID 등 여러 표준을 고려하고 향후 상호 운용성 문제가 생기지 않게 SBOM을 생성하고 관리해야 한다. 또한, 지속적으로 업데이트되야 하는 SBOM 데이터에 오류가 발생하지 않도록 자체 프로세스 구축해야 한다. 모두 전문 지식이 필요한 영역이다.

SBOM 시장이 아직 성숙하지 않은 점도 기업들에게 어려움을 주고 있다. 보안 기업들과 오픈소스 커뮤니티에서 관련 도구를 제공하고 있지만, SBOM 생성 및 관리 도구들은 아직 충분히 발전하지 못한 상태다.

그럼에도 불구하고 SBOM 채택은 점점 늘어나고 기업에서 대응해야 할 필수 과제가 될 가능성이 높다. 실제 2022년 발표된 리눅스 연구¹¹⁾ 에 따르면, 78%의 조직이 SBOM을 생산하거나 사용할 것으로 조사됐다. 가트너는 2025년까지 중요 인프라 소프트웨어를 담당하는 조직의 60%가 소프트웨어 엔지니어링 관행에서 SBOM을 의무화하고 표준화할 것으로 예측했다.¹²⁾ 내부 전문성이 부족한 기업이라면 국내외에서 발간된 가이드라인을 참고하여 SBOM 도입에 대비하는 것이 바람직하다.

※ 참고문헌

• Securing Open Source Software Act - It’s a Pretty Big Deal, 2023년 8월, https://www.cloudbees.com/blog/securing-open-source-software-act
• Why SBOMs are critical to complying with the EU Cyber Resilience Act, 2023년 5월,
  https://www.cybeats.com/blog/why-sboms-are-critical-to-complying-with-the-eu-cyber-resilience-act
• 2023 Sonatype- 9th Annual State of the Software Supply Chain, https://www.sonatype.com/hubfs/2023%20Sonatype-%209th%20Annual%20State%20of%20the%20Software%20Supply%20Chain-%20Update.pdf
• Protecting your organization from software supply chain threats, https://www.cyber.gc.ca/sites/default/files/ITSM10071-Protecting-your-organization-software-supply-chain-threats-e.pdf
• Quad Cybersecurity Partnership: Joint Principles for Secure Software, https://www.pmc.gov.au/sites/default/files/resource/download/quad-joint-principles-secure-software.pdf
• Generating Software Bills of Materials (SBOMs) with SPDX at Microsoft, 2021년10월, https://devblogs.microsoft.com/engineering-at-microsoft/generating-software-bills-of-materials-sboms-with-spdx-at-microsoft/
• SBOM in Action: finding vulnerabilities with a Software Bill of Materials, 2022년6월,
  https://security.googleblog.com/2022/06/sbom-in-action-finding-vulnerabilities.html
• Demonstrating Transparency through Software Bill of Materials (SBOM), 2023년9월, https://blogs.cisco.com/security/demonstrating-transparency-through-software-bill-of-materials-sbom
• OWASP Foundation Announces CycloneDX Project Momentum with Contribution from IBM to Advance Software Supply Chain Security, 2023년3월, https://cyclonedx.org/news/ibm-contributes-two-open-source-projects-sbom-utility-and-license-scanner-to-cyclonedx/
• Being a Responsible User and Creator of Open Source, 2023년1월, https://blog.developer.adobe.com/being-a-responsible-user-and-creator-of-open-source-bbbcb79857fd
• The Linux Foundation Releases The State of Software Bill of Materials (SBOM) and Cybersecurity Readiness Research, 2022년 2월, https://www.linuxfoundation.org/press/press-release/the-linux-foundation-releases-the-state-of-software-bill-of-materials-sbom-and-cybersecurity-readiness-research
• Gartner explains why SBOMs are critical to software supply chain security, 2022년 10월, https://www.reversinglabs.com/blog/gartner-explains-why-sboms-are-critical-to-software-supply-chain-security-management