2025년, 국내 통신사, 금융회사, 유통회사에서 수백만 명의 고객 정보가 유출되는 사고가 발생했습니다. 원인은 놀라울 정도로 단순했습니다. 협력업체가 사용하던 SW의 보안 취약점이 수년째 패치되지 않은 채 방치되어 있었고, 해커는 그 길을 통해 들어왔습니다.
본 사건은 국내 보안 업계에 큰 파장을 일으켰지만, 사실 이러한 공급망 공격은 이미 글로벌 트렌드였습니다. 2020년 SolarWinds 사건에서는 미 연방기관 포함 18,000개 기관이 동시 침해되었고, 2021년 Log4Shell 사태에서는 전 세계 수억 대 서버가 영향을 받았습니다.
공통점은 하나입니다.
직접 개발한 코드가 아니라, 외부에서 가져온 SW 구성요소의 취약점이 공격의 시작점이었다는 것
70~90%
앱 내 오픈소스 비율
3.5%
오픈소스 취약점 발견율 (KISA 23만 건 분석)
297만
국내 카드사 유출 고객 수 (2025년)
Section 01
'공급망 보안'은 '기존 정보보안'만으로는 부족하다?
많은 기업이 방화벽, IDS/IPS, EDR, WAF 등 정보보안 솔루션을 운영하고 있습니다. 이러한 솔루션들은 외부에서 들어오는 위협을 차단하고 인프라를 보호하는 데 매우 효과적입니다.
💡 핵심 차이
기존 정보보안이 '성(城) 밖의 적'을 막는 것이라면,
SW 공급망보안은 '성 안에 들여놓은 자재 중 불량품을 찾아내는' 작업입니다.
그러나 최근의 공급망 공격은 공격의 경로가 완전히 다릅니다. 해커가 외부에서 문을 직접 두드리는 것이 아니라, 이미 우리 SW 안에 들어와 있는 '검증된' 구성요소의 취약점을 노리기 때문입니다. 즉, 성벽을 아무리 높게 쌓아도 성 안으로 반입되는 자재 자체가 오염되어 있다면 기존 보안 체계로는 막아낼 재간이 없습니다.
하지만 우리 SW 안에 어떤 자재(오픈소스, 라이브러리)가 얼마나 들어있는지 모른다면, 검수 자체가 불가능합니다. 이 복잡한 성분들을 한눈에 파악하기 위해 반드시 필요한 '명세서'가 바로 SBOM입니다.
Section 02
SBOM이란? — SW의 '성분표'
SBOM(Software Bill of Materials)은 말 그대로 소프트웨어의 자재명세서입니다. 제조업에서 자동차 한 대의 부품 3만 개를 BOM으로 관리하듯, 소프트웨어에 포함된 오픈소스·라이브러리 수백~수천 개를 목록으로 관리하는 것입니다.
SBOM이 보안에 미치는 실질적 차이
⚠️ SBOM 없을 때
✕ 우리 SW에 뭐가 들어있는지 파악 불가
✕ 취약점이 공개되어도 우리가 해당되는지 모름
✕ 해커가 먼저 발견해서 공격
✕ 사고 후 수습에 수개월 소요
✅ SBOM 있을 때
✓ 모든 구성요소 목록을 자동으로 파악
✓ 취약점 공개 즉시 우리 SW 영향 여부 확인
✓ 위험도 높은 것부터 패치 우선순위 자동 제시
✓ 사고 전 예방 조치 완료
⚠ 최근 보안 사고의 핵심 교훈
이미 알려진 취약점이었음에도 불구하고, 정작 우리 시스템 어디에 해당 SW가 숨어있는지 파악하지 못해 골든타임을 놓친 것이 문제였습니다.
SBOM 보유→취약점 발표 즉시 우리 시스템 파악→해커보다 먼저 패치→사고 원천 봉쇄
Section 03
SBOM의 중요성 — 점차 강화되는 글로벌 + 국내 규제
더욱이 SBOM은 단순한 기술 트렌드가 아닙니다. 이미 미국 연방정부 납품, EU의 제품 출시, 그리고 국내 공공·금융 분야에서 법적 의무가 되어가고 있기에 기업들에 SBOM 대응은 더 이상 미룰 수 없는 당면 과제가 되었습니다.
🌐 Global
2019
미국 FAA·EASA, 항공 분야 SBOM 공식 인정
2021
미국 행정명령 EO 14028 — 연방 납품 SW에 SBOM 의무화
2023
FDA 의료기기 SBOM 제출 의무화 / IEC 62443 산업제어시스템 SBOM 요구
2024
UNECE R155/R156 — 자동차 CSMS 관련 SBOM 필수 제출
2027.12
EU CRA(사이버 복원력법) — 모든 디지털 제품 SBOM 전면 의무화
🇰🇷 국내
2023
금융감독원·금융보안원, '오픈소스 SW 활용관리 안내서' 발표
2025
KISA, 'SBOM 기반 공급망 보안 모델 구축 지원사업' 추진 (60억 원, 8개 기업 실증)
2026.2
금융보안원, '금융권 SW 공급망 보안 플랫폼' 본격 운영 (178개 금융회사 취약점 평가 확대)
2026~
전자정부법 개정 추진 · SBOM 가이드 확대 적용 예정
이처럼 SBOM은 이제 거스를 수 없는 흐름이 되었습니다. 하지만 실무 현장에서는 단순히 명세서를 뽑아내는 것보다 더 중요한 질문이 남아있습니다. "그래서 이 방대한 데이터를 어떻게 관리하고 대응할 것인가?"
Section 04
SBOM은 '생성'이 아닌 '관리'가 핵심
SBOM 도입이 중요하다는 것은 분명하지만, 명세서를 생성하는 것만으로 보안 업무가 완결되지는 않습니다. 오히려 SBOM 생성은 공급망 보안이라는 긴 여정의 시작점에 가깝습니다.
📋 SBOM 도입 후 담당자가 직면하는 현실
1
리포트 작성 부담
SPDX/CycloneDX는 JSON 포맷으로, 경영진·규제기관 보고용 문서를 별도 작성해야 합니다.
2
취약점 영향도 분석
발견된 취약점의 실제 영향을 분석하려면 전문성과 시간이 필요합니다.
3
다양한 규제 동시 대응
EU CRA, UNECE, 금융보안원 등 규제별 요구사항이 제각각입니다.
결국 성공적인 공급망 보안을 위해서는 SBOM 생성 넘어, 취약점 분석부터 외부 공격면 관리, 그리고 규제 대응 리포트 분석까지 이어지는 체계적인 프로세스가 필요합니다. 그렇다면 우리 조직은 어디서부터 시작해야 할까요?
Section 05
공급망보안, 현명하게 시작하려면?
공급망보안 체계를 구축하려면 내부 SW 분석 → 외부 노출면 관리 → 실무 자동화의 세 단계를 통합적으로 접근해야 합니다.
1
내부 구성요소 파악
SCA/SBOM으로 오픈소스·취약점 식별
→
2
외부 노출면 관리
EASM으로 인터넷 노출 자산 모니터링
→
3
실무 자동화
AI 분석·리포트 자동생성 서버 런타임 보호
SM 솔루션즈 공급망보안 종합 솔루션
각 단계에 최적화된 솔루션으로, 도입부터 운영까지 원스톱 지원 ✦ 솔루션 카드를 클릭하면 상세 페이지로 이동합니다
