염흥열 교수 "안전한 SW 공급망 필수…망 내부 훤히 보여야" 작성일 11-06 214 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">"SBOM, 美·EU서 의무화 조짐…개발자·운영자·구매자에 기술적 이점 제공"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="86dGkJGk0m"> <p dmcf-pid="6hYMUGMUFr" dmcf-ptype="general">(지디넷코리아=김미정 기자)"최근 개별 소프트웨어(SW)뿐 아니라 SW 공급망 보안 중요성이 커졌습니다. 국내 정부도 공급망에 소프트웨어 자재 명세서(SBOM)를 의무화해야 합니다. SBOM이 SW 개발부터 유지·운영 환경 안전성을 획기적으로 높일 것입니다."</p> <p dmcf-pid="P3qEQBEQ7w" dmcf-ptype="general">순천향대 염흥열 명예교수는 6일 서울 강남 섬유센터에서 열린 '제14회 SW 개발보안 컨퍼런스'에서 "SW 공급망 보안에 SBOM은 필수"라고 강조했다. </p> <p dmcf-pid="Q9PSgQSgpD" dmcf-ptype="general">SBOM은 SW에 포함된 모든 구성 요소 목록을 나타내는 문서다. SW 제품 투명성을 높이고 보안 취약점을 효과적으로 관리하기 위해 사용된다. SBOM에는 <span>라이선스 정보와 버전 번호, 구성 요소, 세부 정보, 공급업체 등에 대한 정보가 있다.</span></p> <figure class="figure_frm origin_fig" dmcf-pid="xy5iB1iB0E" dmcf-ptype="figure"> <p class="link_figure"><img alt="순천향대 염흥열 명예교수는 SW 공급망 보안에 SBOM은 필수라고 했다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202411/06/ZDNetKorea/20241106162345361kbkp.jpg" data-org-width="640" dmcf-mid="VCSloPlozI" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202411/06/ZDNetKorea/20241106162345361kbkp.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 순천향대 염흥열 명예교수는 SW 공급망 보안에 SBOM은 필수라고 했다. </figcaption> </figure> <p dmcf-pid="ydaFONFOpk" dmcf-ptype="general">염흥열 교수는 "기업·개발자는 SBOM의 제품 구성 요소 가시성을 통해 SW 취약점을 스캔하거나 위협 대처를 원활히 할 수 있다"고 강조했다. </p> <p dmcf-pid="WRo1mg1mFc" dmcf-ptype="general"><strong>"SBOM, SW 개발자·운영자·구매자 모두 도와"</strong></p> <p dmcf-pid="YnAphcphuA" dmcf-ptype="general">염흥열 교수는 SBOM이 SW 개발자와 운영자, 구매자에게 기술적 이점을 제공한다고 주장했다.</p> <figure class="figure_frm origin_fig" dmcf-pid="GpbwMKwMUj" dmcf-ptype="figure"> <p class="link_figure"><img alt="염 교수는 SBOM이 SW 개발자와 운영자, 구매자에게 기술적 이점을 제공한다고 강조했다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202411/06/ZDNetKorea/20241106162346661mybs.jpg" data-org-width="640" dmcf-mid="fN68tv8tzO" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202411/06/ZDNetKorea/20241106162346661mybs.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 염 교수는 SBOM이 SW 개발자와 운영자, 구매자에게 기술적 이점을 제공한다고 강조했다. </figcaption> </figure> <p dmcf-pid="HOTP3yP37N" dmcf-ptype="general"><span>염 교수는 "개발자는 SBOM을 통해 사용 중인 SW 구성 요소가 최신 버전인지 확인할 수 있다"며 "SW가 어떻게 이뤄져 있는지 미리 파악함으로써 보안 취약점에 신속하게 대응할 수 있다"고 설명했다. </span></p> <p dmcf-pid="XB4Cn8CnFa" dmcf-ptype="general"><span>이를 통해 개발자는 개발 과정에서 효율성을 높이고 제품 안정성을 올릴 수 있는 셈이다. </span><span>또 구매자는 SBOM을 통해 구입한 SW 제품이 어떻게 구성됐는지 투명하게 확인할 수 있다. 이에 잠재적인 취약점을 미리 파악할 수 있다. </span></p> <p dmcf-pid="Zt7c6zc6Fg" dmcf-ptype="general">염 교수는 "제품 라이선스 정보를 명확하게 이해할 수 있다"며 "라이선스 위반 등 법적 위험까지 줄일 수 있다"고 설명했다. </p> <p dmcf-pid="5t7c6zc6Uo" dmcf-ptype="general">이어 "운영자도 SBOM으로 운영 중인 SW 특정 모듈에서 보안 취약점을 사전에 파악할 수 있다"며 "안정적인 시스템 운영과 보안 관리를 원활히 할 수 있을 것"이라고 덧붙였다. </p> <p dmcf-pid="1W1nbtnbuL" dmcf-ptype="general">또 그는 "결과적으로 SBOM은 SW의 투명성, 책임성, 신뢰성을 높임으로써 제품 개발부터 운영까지 전 과정에 다양한 이점을 제공한다"고 강조했다.</p> <p dmcf-pid="tqfIi4IiUn" dmcf-ptype="general"><strong>"美·EU, SBOM 적용 활발…韓도 의무화해야" </strong></p> <p dmcf-pid="FdaFONFO0i" dmcf-ptype="general">염 교수는 미국과 유럽연합(EU)처럼 국내 정부도 SBOM을 공급망 위험 관리 핵심 요소로 다뤄야 한다고 주장했다.</p> <figure class="figure_frm origin_fig" dmcf-pid="372sdVsd0J" dmcf-ptype="figure"> <p class="link_figure"><img alt="염 교수는 미국과 유럽연합(EU)처럼 국내 정부도 SBOM을 공급망 위험 관리 핵심 기술 요소로 다뤄야 한다고 주장했다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202411/06/ZDNetKorea/20241106162347998fhlh.jpg" data-org-width="640" dmcf-mid="4fPSgQSgzs" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202411/06/ZDNetKorea/20241106162347998fhlh.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 염 교수는 미국과 유럽연합(EU)처럼 국내 정부도 SBOM을 공급망 위험 관리 핵심 기술 요소로 다뤄야 한다고 주장했다. </figcaption> </figure> <p dmcf-pid="0zVOJfOJ7d" dmcf-ptype="general">실제 조 바이든 미국 대통령은 2021년 사이버 보안 역량 강화를 위한 행정명령을 발표했다. 바이든 대통령은 연방 정부에 납품되는 모든 SW에 SBOM 적용을 의무화했다. </p> <p dmcf-pid="pfMyjRyj3e" dmcf-ptype="general">미국 국립표준기술연구소(NIST)도 안전한 SW 개발 환경에 대한 표준 절차와 기준을 산업계에 요청한 바 있다. 이에 미국 SW 공급자들은 해당 표준을 준수하고 있음을 증명해야 한다. </p> <p dmcf-pid="UPJHEiHE3R" dmcf-ptype="general">EU도 사이버 회복력 법(Cyber Resilience Act)을 통해 SBOM 도입을 추진하고 있다. 이 법안은 최근 EU 의회를 통과했다. 이에 모든 디지털 기기에 포함된 SW에 SBOM을 의무화할 예정이다. </p> <p dmcf-pid="ugE7vD7vFM" dmcf-ptype="general">염 교수는 "미국과 EU는 SOBM을 통해 SW 구성 요소 취약점을 신속하게 식별·대응함으로써 전체적인 사이버 보안을 강화하고 있다"고 말했다. </p> <p dmcf-pid="7JN3Ij3IUx" dmcf-ptype="general">이와 관련해 국내 정부도 올해 5월 SW 공급망 보안 가이드라인을 발표하긴 했다. 다만 이를 의무화하진 않은 상태다. </p> <p dmcf-pid="z2Qvaxva3Q" dmcf-ptype="general"><span>염 교수는 "글로벌 사회는 SW 공급망 보안을 중요하게 본다"며 "이에 발맞춰 국내 정부도 SBOM 의무화를 적극 추진해야 한다"고 강조했다. </span></p> <p dmcf-pid="q4RWAeWAzP" dmcf-ptype="general">김미정 기자(notyetkim@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 “태양의 비밀 밝히러”…한미 합작 태양망원경 ISS 도킹 성공! 11-06 다음 네이버 뉴스 검색 22분간 '먹통'…"디도스 공격 아냐"(종합2보) 11-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.