SM솔루션즈 Tech Blog
효과적인 SBOM을 위한
7가지 핵심 레시피
최근 미국 행정명령(EO 14028)을 비롯해 전 세계적으로 소프트웨어 투명성에 대한 요구가 거세지고 있습니다. 이제 SBOM은 단순한 문서화를 넘어, 기업의 보안 경쟁력을 결정짓는 핵심 지표가 되었습니다.
SM솔루션즈가 제안하는 효과적인 SBOM을 위한 7가지 핵심 레시피를 통해, 귀사의 공급망 보안 수준을 한 단계 높여 보시기 바랍니다.
왜 지금 SBOM인가?
소프트웨어의 재료 목록이 필요한 이유
🍪
초콜릿칩 쿠키의 경우
초콜릿칩 쿠키의 재료 목록을 떠올려 보세요. 밀가루, 설탕, 버터, 초콜릿칩이 나열되어 있지만, 그 초콜릿칩 자체도 카카오 버터, 탈지분유 등의 하위 재료로 이루어져 있습니다. 만약 특정 원산지의 '카카오 버터'에 위생 문제가 생겼다면? 쿠키 제조사는 즉시 어떤 제품에 그 재료가 들어갔는지 찾아내고 회수해야 합니다.
💻
소프트웨어의 경우
소프트웨어도 마찬가지입니다. 상용 코드베이스의 거의 100%가 오픈소스를 포함하고 있는 오늘날, 내 소프트웨어 안에 무엇이 들어있는지 모른다면 언제든 위험에 노출될 수 있습니다. SBOM(Software Bill of Materials)은 바로 이 '소프트웨어의 재료 목록'입니다.
투명한 가시성을 확보하는 것, 그것이 바로 성공적인 공급망 보안 프로그램의 시작이자 초석입니다.
⚠️ SBOM 없이 발생한 대표적 사고들
가시성이 확보되지 않은 소프트웨어 공급망은 언제든 시한폭탄이 될 수 있습니다.
| 사고명 |
핵심 요약 |
| Log4J (2021) |
CVSS 10/10 치명적 취약점, 전 세계 서버에서 임의 코드 실행 가능 |
| SolarWinds (2020) |
30,000개 조직이 사용하는 플랫폼에 악성코드 삽입, Fortune 500 및 미국 정부 피해 |
| Equifax (2017) |
미패치 Apache Struts 취약점으로 1.47억 명 개인정보 유출 |
| Heartbleed (2014) |
OpenSSL 버그로 Google, Facebook 등 다수 기업의 비밀번호 유출 |
다음 사고들의 공통점은 소프트웨어 내부 구성요소에 대한 '가시성' 부족이었습니다. SBOM이 있었다면 취약한 컴포넌트를 신속하게 식별하고 대응할 수 있었을 것입니다.
Black Duck 권고사항
효과적인 SBOM을 위한 7가지 핵심 레시피 (요약본)
글로벌 보안 선두주자 Black Duck은 성공적인 SBOM 구축과 활용을 위해 다음 7가지 전략을 권고합니다.
| # |
권고사항 |
핵심 포인트 |
| 1 |
반복 가능한 프로세스로 만들어라 |
일회성이 아닌 '시스템'으로 접근하세요. SCA 도구를 활용해 SDLC(개발 생명주기)에 자동화를 통합해야 합니다. |
| 2 |
표준화된 형식을 사용하라 |
SPDX, CycloneDX, SWID 등 국제 표준 형식을 채택하여 자동화 분석과 상호운용성을 확보하세요. |
| 3 |
다양한 SBOM 유형을 파악하라 |
설계(Design) 부터 런타임(Runtime) 까지, 단계별 용도에 맞는 SBOM 유형을 선택해 관리해야 합니다. |
| 4 |
신뢰할 수 있는 전달 방법을 계획하라 |
SBOM 자체가 변조되지 않도록 안전한 전달 경로를 확보하고, 각 릴리스 버전과 정확히 매핑하세요. |
| 5 |
산업별 요구사항을 충족시켜라 |
NTIA 최소 요소 등 산업별 특화 규제에 대응하세요. |
| 6 |
모든 코드를 포함시켜라 |
오픈소스뿐 아니라 자체 코드, 상용 SDK, 외주 코드, COTS까지 전부 포함하여 SBOM을 관리하세요. |
| 7 |
활용 계획을 수립하라 |
생성 후 위험 매핑, 공급망 제어, 규제 준수 등 실제 비즈니스에 활용할 전략을 세우세요. |
특히 주목
💡 Runtime SBOM의 중요성
Runtime SBOM
가장 강력한
실질적 보안 가시성
가이드에서 언급한 7가지 SBOM 유형 중에서도 Runtime SBOM은 가장 강력한 실질적 보안 가시성을 제공합니다. 개발 단계에서는 보이지 않던, 시스템 실행 시점에 동적으로 로드되는 컴포넌트와 외부 연결 상태를 실시간으로 파악할 수 있기 때문입니다.
SentiON ServerShield
SM솔루션즈의 SentiON ServerShield는 바로 이 Runtime SBOM 생성에 특화된 전략적 도구입니다. 개발 단계를 넘어 실제 운영 환경에서도 소프트웨어 구성요소를 식별하고, 실시간 위험 모니터링을 통해 빈틈없는 방어 체계를 완성합니다.
SM솔루션즈가 공급망 보안의 파트너가 되어드립니다
SM솔루션즈 솔루션 라인업
SM솔루션즈는 글로벌 보안 선두주자 Black Duck의 공식 한국 파트너로서, SBOM의 구축부터 관리, 실제 활용에 이르기까지 공급망 보안의 전 과정을 밀착 지원합니다.
Black Duck SCA
자동화된 SBOM 생성 및 오픈소스 취약점·라이선스 통합 관리
SentiON SCA
SBOM 관리 프로세스 자동화 및 Black Duck SCA와의 연동
Runtime SBOM 운영환경 가시성 확보를 위한 전략적 도구. 운영 환경에서 실시간 구성요소 식별 및 위험 모니터링
자동차·의료기기 등 산업별 규제 컨설팅
ISO 21434, EU CRA, EO 14028 등 최신 규제 완벽 대응
🚀 SBOM 전략 수립,
지금 바로 시작하세요!
막막하기만 한 SBOM 도입, 우리 조직의 상황에 맞는 최적의 전략이 필요하신가요? 풍부한 경험을 가진 SM솔루션즈의 전문가들이 함께 설계해 드립니다.
전문가 상담 신청하기 →
