▲ 출처 : 정보통신산업진흥원
정보통신산업진흥원(NIPA)은 SBOM 관련 국내·외 동향과 향후 대응 방안 논의를 위한 전문가 세미나를 개최했다.
세미나에는 ETRI, SPRi, TTA, KISA 등 유관기관과 LG전자, 삼성SDS, 유니티커뮤니티, 누리텔레콤, 인피니트헬스케어 등 SW 전문기업이 참석했다.
SBOM은 소프트웨어의 구성요소를 식별하고 의존관계 정보를 관리하기 위한 품목 명세서를 의미한다.
디지털 전환 가속화로 사회기반시설에서의 소프트웨어 재사용률과 복잡도가 증가하면서, SBOM을 활용한 소프트웨어의 공급망 투명성 관리에 대한 필요성이 대두되고 있다.
이와 함께 최근 Log4j 보안 취약점 공격 등으로 전 세계적인 피해가 발생함에 따라 사이버 안보 측면에서 SBOM을 활용한 국가적 대응 체계 구축을 위해 논의가 각 나라별로 본격화되는 상황이다.
특히 미국은 작년 5월 ’사이버안보 개선 행정명령‘을 통해 연방기관에 납품하는 소프트웨에 대한 SBOM 제출 의무화를 발표한 바 있어, 국내 수출 기업의 공급망 피해 최소화와 향후 대응방안 모색이 시급한 상황이다.
세미나에서는 ETRI와 LG전자가 해외 주요 동향과 국내 기업 적용 사례 등을 발표하고, 국내 SW기업들의 현장 의견을 청취하였다.
ETRI 최민석 박사는 미국에서 행정명령 발표 이후 SBOM 적용 범주 정의, 연방기관 조달 담당자를 위한 가이드 배포 등 SBOM 정책 동향을 발표하면서, ▲ 글로벌 SW공급망 대응 체계 구축 ▲ 국내 기업의 SBOM 경쟁력 강화 지원 ▲ SBOM 국내 SW시장 도입 및 정착 지원 측면에서 정부의 역할이 필요하다고 강조했다.
LG전자 김경애 파트장은 SW 관련 보안 이슈가 발생할 경우 NVD와 같은 데이터베이스에 등록해 이를 담당자에게 알려주는 것이 중요하며, 자체 개발한 공개SW 컴플라이언스 시스템인 포스라이트에서도 동기화를 통해 관리하고 있다고 언급하며 국내 SW기업에서의 SBOM 적용 유사 사례를 공유했다.
참가 기업들은 미국 행정명령 발표 이후 SBOM 관련 직접적인 피해는 발생하지 않았으나, 향후 도입이 본격화된다면 인센티브 제공과 모범사례 공유를 통해 SBOM에 대한 인식개선과 관련 정보 확산을 위한 지원을 요구하기로 했다. [기사 더보기]
[출처 : HelloT(www.hellot.net)]
[기자 : 함수미 기자(etech@hellot.net)]
