제목 | [연구분석] 주요 국가들의 SBOM 현황(공공부문 도입 및 R&D) |
---|
분류 | 성장동력산업 | 판매자 | 강정훈 | 조회수 | 49 | |
---|---|---|---|---|---|---|
용량 | 741.88KB | 필요한 K-데이터 | 5도토리 |
파일 이름 | 용량 | 잔여일 | 잔여횟수 | 상태 | 다운로드 |
---|---|---|---|---|---|
[연구분석] 주요 국가들의 SBOM 현황(공공부문 도입 및 R&D).pdf | 741.88KB | - | - | - | 다운로드 |
데이터날짜 : | 2024-06-12 |
---|---|
출처 : | 국책연구원 |
페이지 수 : | 15 |
I. 서론
소프트웨어명세서(Software Bill of Materials: SBOM)는 소프트웨어를 구성하는 컴포넌트에 관한 메타데이터(metadata)이다. 예를 들면, [그림 1]의 Acme Application v1.1은 Bingo Buffer v2.2와 Bob’s Browser v2.2 등의 소프트웨어 컴포넌트를 포함하고 있다. 따라서 Acme Application v1.1의 SBOM은 Bingo Buffer v2.2와 Bob’s Browser v.2.2 등에 관한 컴포넌트 명칭, 공급자 명칭 등 필드와 필드별 값의 쌍으로 이루어진 데이터 집합이다.
소프트웨어가 사용된 제품이나 시설이 사회 전반에 사용되면서 SBOM이 중요해지고 있다. 만약, 소프트웨어의 결함이나 악의적 침입을 통해 소프트웨어가 잘못 작동하게 되면 개인정보를 포함한 중요한 정보가 유출되거나 사회기반시설이 멈출 수 있기 때문이다. 특히, 정부에 조달을 통해 납품된 소프트웨어가 문제를 일으키면 안보 위협까지 초래할 수 있다. 또한, 소프트웨어로 인해 문제가 발생했을 때 문제를 일으키는 소프트웨어 컴포넌트를 특정하지 않고 모든 소프트웨어 코드를 모두 검사한다면 원인 파악과 복구에 많은 시간이 소요된다. SBOM에 대한 정보를 가지고 있다면 문제가 되는 컴포넌트 또는 그로부터 영향을 받는 소프트웨어를 특정하여 대응할 수 있어 복구를 포함한 대응 시간을 단축하고 이차 피해를 최소화할 수 있을 것이다.
우리 정부도 SBOM에 대해 정책적으로 대응하고 있다. 가장 대표적인 것이 2023년 4월에 발표된 「소프트웨어 진흥 전략」이다. 동 전략은 약 10년 만에 발표된 정부의 소프트웨어 분야 종합전략으로 추진과제 중 하나로 2024년부터 오픈소스를 포함한 소프트웨어의 세부 구성요소를 체계적ㆍ전자적으로 관리할 수 있도록 SBOM 작성에 필요한 컨설팅을 지원하겠다는 내용을 포함하고 있다[1]. 한편, 식품의약품안전처에서도 2023년 11월에 ‘의료기기 사이버보안원칙 및 실무 안내서’의 관련 문서로 ‘의료기기 사이버보안을 위한 소프트웨어 자재명세서 원칙 및 실무 안내서’를 발표했다[2]. 국방 분야에서도 우리 군의 무기체계 소프트웨어를 관리하고 방산 수출을 증대하기 위해 SBOM의 도입을 검토하고 있다[3][4]. 그리고 2024년 5월 13일에 과학기술정보통신부와 국가정보원, 디지털플랫폼정부위원회는 공동으로 작성한 ‘소프트웨어 공급망 보안 지침(가이드라인) 1.0’을 발표했다[5].
----------------------------------------------------------------------------------------------------------------------------------------------------
※ 본 서비스에서 제공되는 각 저작물의 저작권은 자료제공사에 있으며 각 저작물의 견해와 DATA 365와는 견해가 다를 수 있습니다.