특정 성분에 알레르기가 있거나 다이어트에 열을 올리는 소비자는 마트에서 물건을 살 때 가격보다 성분을 먼저 본다. 어떤 재료로 만들었는지 알아야 먹어도 되는 음식인지 아닌지를 판단할 수 있기 때문이다. 소프트웨어(SW)를 구매할 때도 마찬가지다. 구입 후 기업이나 기관에 도움이 될지 아니면 피해가 될지 판단할 수 있는 구성요소 명세서가 필요하다. 그래야 만에 하나 발생할 수 있는 사고를 미리 방지할 수 있다.
최근 미국 보안업계에서는 소프트웨어 구성요소를 공개하는 에스밤(SBoM)이 주목을 받는다. 에스밤(SBoM, Software Bill of Materials)은 말 그대로 소프트웨어 구성요소 명세서다. 오픈소스, 라이브러리와 같은 SW 구성 정보를 만든 후 구매자에게 제공하는 유행이 번진다.
미국에서는 2014년부터 에스밤 도입과 관련한 움직임이 있었지만, 아직 한국에서는 아직 생소한 개념이다. 미국 정부 기관은 2014년 당시 ‘사이버 공급망 관리와 투명성법’ 제정을 추진하다. 모든 신제품에 대한 에스밤 요구와 함께 기존에 사용 중인 모든 SW와 펌웨어에 대한 에스밤 제출을 의무화하는 법안이었다. 해당 법안은 최종적으로 통과되지 못했지만, 2017년 사물인터넷 사이버보안 개선법을 제정할 때 영향을 줬다. 일부 내용이 법안에 추가됐다.
사이버 보안 경각심이 고조된 2021년 5월 바이든 미 행정부는 행정명령으로 정부에 납품하는 모든 기기의 에스밤 제공을 의무화했다. 연방정부와 사업 계약을 맺은 기업은 에스밤을 제출해야 한다. 7년 만에 법제화된 셈이다.
에스밤으로 얻을 수 있는 이점은 뭘까. 간단하게 말하면, 에스밤은 SW를 구입하는 사람은 물론 SW를 개발하거나 제조하는 사람, 소프트웨어를 운용하는 사람 모두에게 이익을 준다. 에스밤을 갖고 있다면, SW에 문제가 발생하거나 새로운 보안 취약점이 발견됐을 때 개발자나 구매자 모두 신속하게 대응할 수 있다.
제로데이 공격을 예를 들어 설명하면, 이 공격과 관련한 보안 취약점 발견은 사실 상당한 시간이 필요한 어려운 일이다. 핵심 시스템의 보안 취약점이 발견되면 시간을 두고 패치가 나오는데, 제로데이 공격은 패치가 나오기 전 취약점을 이용해 악성코드나 프로그램을 제작해 공격을 가하는 수법이다. 별도의 대처방안이 없다 보니 막대한 피해가 뒤따를 수밖에 없다. [기사 더보기]
[출처 : IT 조선(http://it.chosun.com/)]
[기자 : 류은주 기자(riswell@chosunbiz.com)]
