우리는 일상생활 곳곳에서 자재명세서(BOM, Bill of Materials)를 만난다. 과자 포장지 뒷면에 적힌 원재료 리스트가 그 대표적인 예다. 식품 원재료 명세서를 활용하면 누구나 쉽게 알레르기 유발 식품이나 원치 않는 식재료를 파악할 수 있고, 안전한 섭취가 가능해진다.

에스봄(SBOM, Software Bill of Materials)은 이러한 자재명세서에 ‘소프트웨어’라는 단어를 추가했다. 식료품 포장지만 봐도 우유, 계란 등 원재료 함유량을 한눈에 파악할 수 있는 것처럼, SBOM 하나로 우리가 활용하는 소프트웨어 구성요소를 파악하자는 의도다. 더 좋은 소프트웨어를 개발하기 위해 오픈소스를 다수 활용할수록 보안 관리에 대한 필요성도 커진다.

출처를 파악해두지 않은 오픈소스들을 거듭 수정하여 활용한다면, 보안사고가 발발해도 어디가 어떤 문제인지 모르니 발 빠른 대처가 어렵다. 작년 연말을 휩쓴 Log4j 사태는 SBOM 필요성을 증명한 대표적 예시다.

미국에서는 SBOM 제출이 이미 의무화됐다. 2021년 5월, 미국 바이든 행정부는 행정명령을 통해 연방기관에 납품하는 소프트웨어 제품에 대해 SBOM 제출을 의무화하였고, 미 식품의약국(FDA)은 2022년 4월 발표한 'Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions' 지침 초안에서 의료기기에 내장된 소프트웨어에 대해 SBOM 제출을 명시했다. 구글은 오픈소스 프로젝트 유지관리 지원 전담조직을 신설했다. 국내 수출 기업의 경우 대응방안 모색이 시급한 시점이다.

이러한 세계 흐름에 발맞춰 고려대가 SBOM 공급망 보안을 위한 기술개발에 나선다. 고려대학교 소프트웨어보안연구소(CSSA, 소장 이희조)는 과학기술정보통신부 및 정보통신기획평가원이 지원하는 ‘SW공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발’ 과제에 선정돼 2022년부터 2025년까지 연구를 진행한다.

고려대학교 소프트웨어보안연구소는 과거 ‘IoT 소프트웨어 보안 취약점 자동 분석 기술 개발 과제(2015-2018)’, ‘블록체인 플랫폼 보안취약점 자동분석 기술 개발 과제(2019-2022)’를 수행하며 국내 보안산업 발전에 기여해왔다. 연구소는 기존 연구를 토대로 수정된 오픈소스까지 분석하는 기술, 다양한 언어의 소스코드 취약점을 분석하면서도 정확도를 강화하는 기술 등에 도전할 계획이다.

고려대는 우수 기술 연구뿐 아니라 누구나 활용할 수 있는 SBOM 오픈 플랫폼을 구축하고, 산업 내 실증까지 진행하여 국내 SBOM 기술개발의 초석을 다질 예정이다. 2016년 런칭한 IoTcube 플랫폼은 현재까지 2.6만 명의 누적 사용자, 99만 건의 취약코드 발견을 기록했으며, 이번 연구를 통해 SBOM 자료생성 및 보안취약점 분석 기능을 도입할 계획이다.

고려대 소프트웨어보안연구소 소장을 겸하고 있는 컴퓨터학과 이희조 교수는 “국내에서도 본격적으로 SBOM 연구를 진행할 기회가 만들어졌음에 감사하다”라며 “디지털 전환이 급격히 진행되고 있는 다양한 산업분야에서 SBOM 관리를 통해 공급망 투명성 확보와 보안 강화, 나아가 국내 산업의 국제 경쟁력 확보에 기여할 수 있도록 노력하겠다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★