주요국 및 미국의 SBOM(Software Bill of Materials) 정책 동향 분석 본문듣기
작성시간
관련링크
본문
주요국의 SBOM(Software Bill of Materials) 정책 동향 분석
<내용 요약>
1. 주요 국가 정부는 SW공급망 투명성 확보 수단 중 하나로 SW제품 내의 구성요소 정보를 기술한 문서, SBOM(Software Bill of Materials)에 주목하고 있다. 이는 공개SW를 비롯한 SW재사용 확산과 함께 신뢰 기반으로 형성된 SW공급망으로 국가 안보에 직·간접적으로 관련된 위협이 증가하고 있음에 기인한다.
2. 디지털 가속화와 함께 신기술의 빠른 도입 수단으로 SW재사용이 전 산업에 걸쳐 필수적인 요소로 평가되는 만큼 관련된 위협 관리도 반드시 해결해야 하는 과제임을 뜻한다. 일본 정부는 경제산업성 내에 소프트웨어TF를 설치하고 의료·자동차·SW 분야에 걸친 SBOM 실증을 통해 개념 정립, 효과성 검증, 제도화 방안을 마련하고 있다.
3. 이러한 움직임은 ICT 사이버보안 종합대책 2022을 통해 ICT 분야로 확대될 전망이다. EU는 공개SW 공급망 관리 측면에서 EU-FOSSA, FOSSEPS 등 프로젝트 추진을 통해 유럽 공공에서의 SW인벤토리를 구축·관리하고자 하고, D-SBOM과 같은 연구개발 프로젝트로 SBOM 원천기술 확보 및 실증에도 노력을 기울이고 있다. 뿐만 아니라 의료기기·IoT 보안 가이드 제시를 통해 SBOM 활용을 권고하고 있으며, 클라우드·의료기기 인증을 비롯해 디지털 요소를 포함한 제품에 SBOM을 적용하는 입법 추진을 통해 제도화 기반 마련 중에 있다.
4. ICT 분야 보안에 관심이 높은 영국도 통신망 서비스 공급망 보안 강화를 위해, 보안 지침에 SBOM과 유사한 기준을 적용하였다. 중국은 SW공급망 보안 강화 방안을 마련하기 위해 SBOM을 검토하는 협력체계 3S-LAB을 구성하였고, CAICT를 중심으로 SBOM 관련 백서 및 가이드를 발간해 활용 확산을 위한 저변을 확대하였다. 네덜란드는 주요 국가에서 추진하고 있는 SBOM 정책을 모니터링함으로써 효과적인 SBOM 도입 방안을 마련하였다. SW공급망 투명성 확보를 위해 SBOM 관련한 백서·가이드 배포, 실증 추진, 제도화 방안 마련 등의 글로벌 동향이 확인되고 있다.
5. 국내 SW산업의 글로벌 경쟁력을 평가하는 기준으로 SBOM을 인식하고 기업에서는 생산·유통·활용 측면에서의 SBOM 도입을 적극적으로 검토해야 한다. 이를 뒷받침하는 정부의 지원 정책도 중장기적인 관점에서 준비될 필요가 있다.
<끝>
미국 SBOM(Software Bill of Materials) 정책 분석 및 시사점
<내용 요약>
1. 미국 바이든 정부는 SW공급망 보안 강화를 위해 연방정부에서 조달한 SW제품에 대해 SW구성요소 정보를 기술한 문서, SBOM(Software Bill of Materials)을 제출하도록 요구하는 행정명령을 2021년 5월에 발표했다. 솔라윈즈, Kaseya, Log4J 등 SW공급망을 통한 보안 위협 사례가 증가함에 따라 연방정부 차원에서 이를 관리하기 시작한 것을 의미한다.
2. 행정명령에 기반해 백악관과 OMB(Office of Management and Budget)를 중심으로 범부처적인 추진체계를 구축하고 민관협력을 추진하였다. 상무부 산하 NTIA(National Telecommuni- cations and Information Administration)와 NIST(National Institute of Standards and Technology)는 각각 SBOM의 개념 정립 및 실증과 표준화를 주도해 SBOM 정책 구현을 위한 이론적 검증과 기틀 마련을 담당했다. 국토안보부 산하 CISA(Cybersecurity & Infrastructure Security Agency)는 보안 측면에서의 내용 검토와 함께 SBOM 인식 제고 및 의견수렴을 위한 온라인 세션을 운영하였다.
3. 미국 정부는 비영리 재단 주도로 정의된 SBOM 국제표준 포맷과 선도 기업들의 SBOM 유사 체계 모범사례를 바탕으로 정책을 수립하고 관련 분야의 민간전문가 의견을 청취하는 민관협력 체계도 병행하였다. 미국의 SBOM 정책은 개념 정립부터 제도화까지 단계적인 추진을 통해 민간 확산을 유도하고 있다. 우선 SBOM 범주·효과를 정의하고 준수 기준이 되는 최소요소(Minimum Elements)를 발표하였으며, 의료·에너지 등 실제 산업에서의 실증을 수행하였다.
4. 표준화된 SBOM 활용과 정보 공유를 위해 SBOM 생성, SW공급망 관리, 산업별 보안 강화 등에 대한 가이드를 각각 배포하였다. SW공급망 보안 강화를 위해 행정명령으로 조달 규정 개정을 담당 부처에 지시하였고, 의료기기 등 개별적인 법안 발의를 통해 SBOM 확산을 위한 법적 기반을 마련하였다.
5. 미국에서 추진한 SBOM 정책은 공공·민간에서의 안정적인 도입을 위해 단계적으로 추진되어 SW수출 대상국의 제재로서만이 아닌 SW기업의 경쟁력 제고를 위한 방향성으로 인식할 필요가 있다. 이니셔티브 발족과 실증 수행을 통해 SBOM 정착을 위한 기반을 마련하고, 가이드로 절차·포맷의 표준화를 진행하였다. 점진적인 민간 확산 유도를 위해 공공영역에서의 법제화를 추진함으로써 제도적 기반을 마련하고 있다. 국내에서도 정부와 기업이 대응책 마련과 함께 SBOM 도입을 신중하게 검토해야 할 시점이다.
<끝>
※ <주요국 SBOM정책 동향 분석>과 <미국 SBOM정책 분석 및 시사점>은 소프트웨어정책연구소가 발간하는 [SPRi 이슈리포트 IS-150](2022.12.22.)과 [SPRi 이슈리포트 IS-144](2022.12.16.)에 각각 실린 것으로 연구소의 동의를 얻어 게재합니다. <편집자> |
댓글목록
등록된 댓글이 없습니다.