"안전한 세계 사이버세상 구현"...韓美日 등 15국 새 S-BOM 지침 발표 작성일 09-05 6 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">투명성 확보 등 강조...작업 참여 이만희 교수 "2년만에 매우 의미있는 문서 완성"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="XZ8gx1Jqk0"> <p contents-hash="ead43bf51731466a13e40986eac7770ce99822922067fcc4577ed0b815accac3" dmcf-pid="ZROZldWAo3" dmcf-ptype="general">(지디넷코리아=방은주 기자) 보다 안전한 사이버세계를 위한 것으로 우리나라를 포함해 미국, 영국, 프랑스, 일본 등 세계 15개국 17기관이 참여해 만든 새로운 S-BOM(소프트웨어 BOM(Bills of Materials) 지침이 제정, 발표됐다. </p> <p contents-hash="134bc6a9fb3726b8d098810714635e01d4336e6bbaedf355891a9a3b0f3320ac" dmcf-pid="5eI5SJYcNF" dmcf-ptype="general">미국 사이버보안·인프라 보안국(CISA, Cybersecurity and Infrastructure Security Agency)이 주도했고, 우리나라에서는 국정원과 한국인터넷진흥원(KISA)이 참여했다.</p> <p contents-hash="b4b8aae9cf33c637cf2fc4bea641549c7d57ad4bb62b3f5ed0dad97cd526d61f" dmcf-pid="1dC1viGkNt" dmcf-ptype="general">산업계와 학계에 따르면, 미국 CISA는 '사이버보안을 위한 소프트웨어 BOM(Bill of Materials)의 공유 비전(A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity'라는 이름의 새 S-BOM 지침을 마련, 미국시간 3일 발표했다.</p> <p contents-hash="0c5fcc6905dc461baa4dceb3bd087fa12f21bbf6b52e3e9295a60cb94354fd45" dmcf-pid="tJhtTnHEc1" dmcf-ptype="general">S-BOM은 '소프트웨어 자재 명세서(Software Bill of Materials)'로 소프트웨어를 구성하는 모든 구성 요소와 라이브러리, 모듈, 의존성(dependencies) 목록을 체계적으로 정리한 문서를 말한다. 어떤 오픈소스나 서드파티 라이브러리가 포함되어 있는지 알 수 있어 투명성 확보에 중요하고, 이에 취약점이 발견됐을때 해당 라이브러리를 사용하는 모든 제품을 신속히 파악할 수 있어 신속한 보안 사고 대처가 가능하다. 미국, 유럽연합(EU) 등은 소프트웨어 공급망 보안을 강화하기 위해 S-BOM 제공을 요구하는 추세다.</p> <p contents-hash="780447f71255afdfe907a0ca1468d1feee967ae0d44d8112bfea9235c41277e7" dmcf-pid="FilFyLXDN5" dmcf-ptype="general">실제 CISA는 새 S-BOM 지침에 대해 "이정표"라면서 "이 이정표는 디지털 공급망 보안에 있어 소프트웨어 투명성의 중요성에 대한 국제적 합의가 커지고 있음을 반영한다"면서 "SBOM은 소프트웨어 '성분 목록' 역할을 해 조직이 구성 요소를 식별하고, 위험을 평가하고, 중요한 시스템을 보호하기 위해 정보에 입각한 조치를 취할 수 있도록 해준다"고 설명했다. 이어 "최신 소프트웨어가 타사 및 오픈 소스 구성 요소에 점점 더 의존함에 따라 SBOM은 취약점을 관리하고 설계에 따른 보안 개발을 지원하는 데 필수적"이라고 덧붙였다.</p> <p contents-hash="0f12d0dc25db9308dfc2e6b32d381db475964ab313725ea2fff1e53c95effd55" dmcf-pid="3nS3WoZwNZ" dmcf-ptype="general">새 S-BOM 지침은 더 나은 소프트웨어 투명성은 더 나은 의사 결정으로 이어진다면서 권장사항으로 ▲부문과 국경을 초월한 광범위한 SBOM 채택 ▲복잡성과 비용을 줄이기 위한 조화로운 기술 구현 ▲더 나은 위험 관리를 위해 SBOM을 보안 워크플로에 통합 등을 제시했다.</p> <figure class="figure_frm origin_fig" contents-hash="b3dff0777973f1dd978297a7d766f5bcc1c09e83bfce0d37db048d22ca4ae474" dmcf-pid="0Lv0Yg5rkX" dmcf-ptype="figure"> <p class="link_figure"><img alt="S-BOM 마련에 참여한 세계 15개국 17개 기관들. 우리나라도 국정원과 KISA가 참여했다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202509/05/ZDNetKorea/20250905120649371ujbr.jpg" data-org-width="638" dmcf-mid="K2zmaBkPj6" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202509/05/ZDNetKorea/20250905120649371ujbr.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> S-BOM 마련에 참여한 세계 15개국 17개 기관들. 우리나라도 국정원과 KISA가 참여했다. </figcaption> </figure> <p contents-hash="8940fcd67b577967bdcde36951e929b81014b250a1901db40d63b4e146603ef9" dmcf-pid="poTpGa1mgH" dmcf-ptype="general">특히 새 지침은 S-BOM 생성, 분석 및 보안 프로세스 및 관행에 대한 공유를 구현할 때의 이점에 대한 정보를 제공, S-BOM 채택이 보안을 개선하고 위험과 비용을 절감한다면서 위험을 해결하기 위한 첫 번째 단계가 투명성을 높이는 것이라고 밝혔다.</p> <p contents-hash="01a24daad2762032246e4fb0db1a075565dac799a6f9f03b0474665f520f995a" dmcf-pid="UgyUHNtsgG" dmcf-ptype="general">또 S-BOM은 조직의 소프트웨어 공급망 및 엔터프라이즈 시스템 전반에 걸쳐 더 큰 가시성을 제공한다면서 "조직은 이러한 투명성을 활용해 위험 관리 관행, 특히 취약성 관리 및 공급망 관리의 효율성을 높이고 소프트웨어 개발 프로세스를 개선하며 조직의 라이선스 관리를 지원할 수 있다"고 제시했다. </p> <p contents-hash="77cd1e5773957ffb4ed811a48bbde9600b128d22a722a236e0de7d2ce34c98b1" dmcf-pid="uaWuXjFOaY" dmcf-ptype="general">공급망의 모든 참가자가 소프트웨어에 대한 SBOM을 가지고 있으면 취약점을 식별하고 대응하는 시간을 크게 줄일 수 있다면서 "S-BOM이 없으면 각 행위자는 취약점이 소프트웨어에 영향을 미친다는 알림을 업스트림 공급업체에 의존해야 한다"면서 "기관들은 소프트웨어 개발 프로세스 전반에 걸쳐 S-BOM을 채택하면 구성요소 관리 비용, 취약성 대응 중 가동 중지 시간, 단종된 구성 요소의 문제를 식별하는 데 필요한 시간을 절감한다"고 설명했다.</p> <p contents-hash="f817e1bbd0d42a04fa1ce07833fedd533f8b08dbe4698ca8ff41963fcb377a53" dmcf-pid="7NY7ZA3IjW" dmcf-ptype="general">한편 이번 지침 마련에 참여한 이만희 한남대 컴퓨터공학과 교수는 "매우 의미있는 문서가 드디어 나왔다"면서 "2년간 걸린 이 작업은 알란 프리드만(Allan Friedman) 박사가 CISA를 떠나기전까지 미국과 협력관계에 있는 국가들의 정부쪽 공급망 보안 전문가들이 온라인으로 모이는 SBOM 거번먼트 전문가 포럼(Government Expert Forum)을 2년 가까이 운영한 결과"라고 설명했다.</p> <p contents-hash="72e9397fd96117faeed42eec55a82c14fc06e3d597f3f5973b81dac48c34539b" dmcf-pid="zcXBtEUlay" dmcf-ptype="general">이어 "나를 포함한 몇 분의 민간전문가도 참여했다"면서 "내용이 무척 새로운 것은 없지만, 15개국이 SBOM을 활용한 투명성 강화, 취약점 관리, 향수 VEX 등과의 연계등 함께 나아갈 방향을 공유했다는 점에서 매우 중요한 의미를 갖는다"고 덧붙였다.</p> <p contents-hash="a826394cdb86d042a2eae5efec79b1fc513e5d8a4953e856ff9ff2e072bb1cef" dmcf-pid="qkZbFDuScT" dmcf-ptype="general">방은주 기자(ejbang@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 한-일 IT 기업, ‘생성형 AI’ 혁신 사업 전략 모색 09-05 다음 사발렌카 “US오픈 2연패 보인다…페굴라 꺾고 결승 진출 09-05 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
!['쉬는부부' 검진표 이후 합방 성공?..."각방 끊어볼게 안아줄게"[종합]](https://t1.daumcdn.net/news/202307/18/tvreport/20230718005204995wmju.jpg)
!["애아빠, 아동수당으로 도박+폭력까지" 절박한 심정으로 SOS [고딩엄빠3]](https://t1.daumcdn.net/news/202307/18/mydaily/20230718004505971gzch.jpg)
!['장백지 스캔들' 사정봉, 10년 만에 아들과 함께 있는 모습 포착 [룩@차이나]](https://t1.daumcdn.net/news/202307/18/tvreport/20230718004034360pmkk.jpg)
![‘결혼지옥’ 사막부부 아내 “빚에 예물까지 팔아.. 남편, 분유 비싸니 모유 수유하라고”[종합]](https://t1.daumcdn.net/news/202307/18/poctan/20230718003031923dkkf.jpg)
![추자현♥ 우효광, ‘동상이몽2’ 4년 만 컴백... ‘6살 子’ 육아 일상 공개 [종합]](https://t1.daumcdn.net/news/202307/18/startoday/20230718002705384wudc.jpg)
![비비 '볼하트에 동그란 토끼 눈'[엑's HD포토]](https://mimgnews.pstatic.net/image/311/2023/07/18/0001617342_001_20230718180303538.jpg?type=w540)
![[포토]소연, 매력만점 하트](https://ssl.pstatic.net/mimgnews/image/112/2023/07/21/202307211149393697310_20230721115005_01_20230721115103586.jpg?type=w540)