Ⅰ. 공급망 보안 체계(SBOM, Software Bill of Materials)란?
소프트웨어 제품에 포함된 모든 구성 요소, 라이브러리, 모듈, 및 의존성(dependencies)을 명확하게 문서화한 리스트를 의미합니다. 쉽게 말해, 소프트웨어의 재료 명세서라고 볼 수 있습니다.
최근 공급망 공격(Supply Chain Attack)이 증가하면서, 소프트웨어 보안의 투명성과 관리 효율성을 높이기 위해 SBOM의 중요성이 강조되고 있습니다.
Ⅱ. 공급망 보안 체계(SBOM, Software Bill of Materials) 필요성
ⅰ. 소프트웨어 개발 과정에서 다양한 오픈소스 라이브러리 및 타사 코드가 포함되면서 보안 취약점이 증가하고 있고,
어떤 제품이 영향을 받는지 파악하기 어려워 대응 지연
ⅱ. 공급망 보안 위협 사례
1) 2020년 솔라윈즈(SolarWinds) 해킹 사건: 해커가 정식 소프트웨어 업데이트 과정에서 악성코드를 삽입하여 전 세계 정부 및 기업을 공격
2) 2021년 Log4j 취약점(Log4Shell) 사태: 전 세계 수많은 소프트웨어에서 사용하는 오픈소스 로그 라이브러리에서 심각한 보안 결함 발견
Ⅲ. 공급망 보안 체계(SBOM, Software Bill of Materials) 주요 구성 요소
| 항목 | 설명 |
| 소프트웨어 구성 요소 | 애플리케이션에 포함된 모든 코드 및 라이브러리 목록 |
| 버전 정보 | 각 구성 요소의 버전 (보안 패치 여부 확인) |
| 라이선스 정보 | 오픈소스 소프트웨어(OSL) 사용 여부 및 라이선스 규정 |
| 공급업체 정보 | 해당 구성 요소를 제공한 조직 또는 개발자 정보 |
| 보안 취약점 정보 | 알려진 보안 취약점(CVE)과 연관성 |
| 의존성(Dependencies) | 특정 구성 요소가 다른 모듈에 의존하는 관계 |
Ⅳ. 공급망 보안 체계(SBOM, Software Bill of Materials)보안에 미치는 영향
ⅰ. 보안 취약점 탐지 및 관리
1) 사용된 소프트웨어 라이브러리를 자동 분석하여 알려진 취약점(CVE, Common Vulnerabilities and Exposures)이 있는지 확인 가능
2) 보안 패치가 필요한 라이브러리를 빠르게 식별하여 빠른 대응 가능
ⅱ. 소프트웨어 공급망 투명성 확보
1) 조직이 사용하는 소프트웨어 구성 요소를 명확하게 문서화하여 공급업체 리스크 감소
2) SBOM을 공유하면 개발자뿐만 아니라 보안팀, 고객도 제품의 보안 상태를 검증할 수 있음
ⅲ. 컴플라이언스 및 법적 요구사항 충족
1) 미국 대통령 행정명령(2021년 5월)에서는 연방기관과 협력하는 모든 기업이 SBOM을 제공해야 함
2) ISO, NIST 등의 국제 보안 표준에서 SBOM을 필수 보안 요구사항으로 지정
Ⅴ. 공급망 보안 체계(SBOM, Software Bill of Materials) 관리 도구 및 표준
ⅰ. SBOM 표준 형식
다양한 기업과 보안 기관에서 SBOM 표준을 만들고 있으며, 대표적인 형식은 다음과 같습니다:
| 표준 | 설명 |
| SPDX (Software Package Data Exchange) | 리눅스 재단이 개발한 SBOM 표준, 오픈소스 소프트웨어 관리에 주로 사용 |
| CycloneDX | OWASP(Open Web Application Security Project)에서 개발, 보안 취약점 분석과 보안 테스트에 초점 |
| SWID (Software Identification Tags) | ISO/IEC 19770-2 표준으로, 정부 및 기업의 IT 자산 관리에 사용 |
ⅱ. SBOM 자동 생성 및 관리 도구
SBOM을 수동으로 작성하는 것은 어렵기 때문에, 자동으로 SBOM을 생성하고 관리할 수 있는 도구가 많이 사용됩니다:
| 도구 | 설명 |
| Syft | 컨테이너 및 패키지 관리자를 스캔하여 SBOM 생성 |
| Grype | SBOM 기반 보안 취약점 스캐너 |
| CycloneDX CLI | OWASP에서 제공하는 SBOM 생성 도구 |
| Trivy | 컨테이너 및 오픈소스 라이브러리의 보안 취약점 분석 |
| Black Duck | 기업용 소프트웨어 보안 및 라이선스 관리 솔루션 |
Ⅵ. 공급망 보안 체계(SBOM, Software Bill of Materials) 도입 시 고려사항 및 한계점
ⅰ. SBOM 생성 자동화 필요
: 기업 내 다양한 애플리케이션이 사용되므로 자동으로 SBOM을 생성 및 업데이트하는 시스템 필요
ⅱ. 보안 취약점 데이터 연동
: SBOM만으로는 취약점을 감지할 수 없으며, CVE 데이터베이스와 연동하여 실시간 탐지 가능하도록 구축
ⅲ. 오픈소스 라이선스 준수
: SBOM을 통해 GPL, Apache, MIT 라이선스 등 오픈소스 사용 조건을 철저히 검토해야 함
ⅳ. 데이터 보호 및 접근 통제
: SBOM에는 소프트웨어 구성 정보가 포함되어 있어 해커에게 노출될 경우 악용될 가능성 있음
적절한 암호화 및 접근 제어 정책 필요
'어플리케이션' 카테고리의 다른 글
| 데이터 웨어하우스(Data Warehouse, DW)에 대해 알아보겠습니다. (0) | 2025.01.23 |
|---|---|
| 고가용성(High Availability, HA) 솔루션 중 LifeKeeper(라이프키퍼)에 대해 알아보겠습니다. (0) | 2025.01.22 |
| Certificate Transparency(CT)에 대해 알아보겠습니다. (0) | 2025.01.09 |
| HSTS(HTTP Strict Transport Security)에 대해 알아보겠습니다. (0) | 2025.01.09 |
| HPKP(HTTP Public Key Pinning)에 대해 알아보겠습니다. (0) | 2025.01.08 |