Q&A
home 〉 Q&A
신뢰 높은 SW공급망 실현하자 글로벌 SBOM 논의 본격화 한국도 공식
라이더
0
6
09.19 14:59
미국 사이버보안인프라보호청 이 주최한 글로벌 소프트웨어 공급망 보안 행사가 막을 내렸습니다.
현장에 참석한 주요 정부 기관 및 기업 관계자들은 주요국이 갖춰야 할 보안 태세를 공유하는 데 여념이 없었습니다. 한국은 이번 행사를 통해 SW공급망 보안 대표국으로 존재감을 드러냈습니다. 담당 발표자와 전시 기업은 국내 정책 동향과 기술력을 공유하며 중요 가치로 신뢰 가 중요하다는 업계 의견에 힘을 보탰다. 올해 정부가 공식 가이드라인을 발간한 가운데 주요국과 더불어 글로벌 흐름에 동참한 모습입니다. 19일 보안 업계에 따르면 미 CISA는 지난 11일 부터 이틀간 미국 콜로라도주 덴버 애슬래틱 클럽 에서 SBOM-a-Rama 를 개최했습니다. 이는 SW 및 보안 커뮤니티가 참여하는 글로벌 유일 행사로 과거 유럽연합 위원회와 독일 연방정보기술보안청 일본 경제산업성 관계자가 참여해 위상이 높아졌다는 평가를 받고 있습니다. 행사명처럼 올해 참가자들의 최대 관심사는 소프트웨어자재명세서 다.
예년과 달리 이번 행사가 SBOM 기업 전시를 더해 확장 개최된 점도 그 일환입니다. SBOM은 외부 오픈소스 등을 활용할 때 유입될 수 있는 보안 및 라이선스 문제를 관리하는 일종의 자재명세서다. 보안 위협이 발생할 시 SBOM 내역을 검토해 어느 부분에 구멍이 났는지 한눈에 확인할 수 있어 SW공급망 보안 영역에서 필수 도구로 여겨지고 있습니다. 미국을 비롯한 주요국은 의무화 작업에 돌입한 상태다. 이번 행사에서는 유력한 인사들이 발표자로 참여했습니다. 대표적으로 앨런 프리드만 CISA 시니어 어드바이저를 비롯해 SAP 스플렁크 유나이티드에어라인 록히드마운틴 등 세계 각국 관계자들이 참여해 SW공급망 보안을 실현한 사례를 공유했습니다. 푸르지오 스타셀라49 이들은 SW공급망 보안을 실현하기 위해 신뢰를 높여야 하고 투명성과 보안성이라는 두 핵심 요소를 간과해서는 안 된다는 점을 강조한 것으로 전해집니다.
한국도 발표 명단에 이름을 올리며 글로벌 의견에 뜻을 같이 했습니다. 범정부 SW공급망 보안 가이드라인 집필에 참여한 최윤성 고려대학교 교수는 정부 자문역으로 SBOM 기반 위험 관리 프레임워크 구축을 위한 한국의 노력 을 주제로 발표했습니다. 최 교수는 이번 행사로 SW 공급망 보안이 우리 혼자서 해결할 수 없는 글로벌 이슈이며 전 세계가 관심을 두고 있다는 사실을 이해하는 것이 핵심이라고 느꼈다며 복잡한 공급망에서 투명성과 신뢰를 바탕으로 탁월한 관리 능력을 발휘하면 새로운 리더십이 발전할 수 있다고 생각한다고 소감을 전했습니다. 전시 명단에도 한국 기업이 이름을 올렸습니다. SW공급망 전문 기업 래브라도랩스는 한국 기업 중 유일하게 발표와 전시에 참여해 자사 플랫폼 래브라도 SCM 와 소프트웨어구성분석 를 소개했습니다. 래브라도 SCM은 SW 공급망에 관여하는 모든 기업의 SBOM 생성 보내기 받기 상호 확인 수정 보완 등을 자동화한 솔루션입니다. 래브라도 SCM은 SW 유통 과정에서 취약점을 사전에 점검해 보완하는 제품입니다.
그간 한국은 정보기술 강국으로 불려왔지만 SBOM을 비롯한 SW공급망 보안 분야에서 성숙도가 높지 않다는 평가를 받아왔습니다. 사용하는 SW 종류가 다앙한 것과 대비해 투명성과 보안성 측면에서 이를 고도화하는 작업이 따라오지 못했다는 평가다. 이에 정부는 과학기술정보통신부 국가정보원 디지털플랫폼정부위원회를 필두로 민관 협력을 거쳐 SW공급망 보안 가이드라인 1. 0 을 최근 발표해 SW 개발사 유통사 운영사 역할을 안내하는 기본서를 마련했습니다. 추후에는 산업별 가이드라인 또한 마련될 것으로 전망됩니다. 주요국과 비교했을 때 추진 속도가 더뎠다는 의미다. CISA 또한 이번 행사 안내를 통해 SBOM의 개념은 새로운 것이 아니다라며 학계에서는 1995년 SBOM에 대한 잠재적 가치를 확인했고 이후 모호했던 개념이 글로벌 핵심 의제로 떠오른 상황이라고 강조했습니다.
일례로 미국 바이든 정부는 2021년 행정명령으로 연방정부에 SW공급망 보안 관리를 의무화했고 2022년에는 안전한 정부를 위한 SW공급망 보안 강화 지침 등을 발표하며 의제를 이끌고 있습니다. 때문에 이번 행사에 주요 국가 중 하나로 참여했다는 사실은 SW공급망 보안에 있어 한국에 대한 관심이 증대하고 있다는 점을 방증합니다. 국내 보안업계 관계자는 SBOM-a-Rama에 한국이 정부 방향성과 기술력을 직접 소개했다는 것에 의의가 있다며 추후 새로운 가이드라인이 나오거나 주목받는 기업이 생길 시 글로벌 현장에서 목소리를 낼 기회가 많아질 것으로 본다고 말했습니다. 한편 한국은 SW공급망 보안 경쟁력을 강화할 예정입니다. 업계에 따르면 정부는 국가 SW공급망보안 로드맵을 구체화하고 2027년 제도 시행을 목표로 사전 작업을 추진하고 있습니다.
현장에 참석한 주요 정부 기관 및 기업 관계자들은 주요국이 갖춰야 할 보안 태세를 공유하는 데 여념이 없었습니다. 한국은 이번 행사를 통해 SW공급망 보안 대표국으로 존재감을 드러냈습니다. 담당 발표자와 전시 기업은 국내 정책 동향과 기술력을 공유하며 중요 가치로 신뢰 가 중요하다는 업계 의견에 힘을 보탰다. 올해 정부가 공식 가이드라인을 발간한 가운데 주요국과 더불어 글로벌 흐름에 동참한 모습입니다. 19일 보안 업계에 따르면 미 CISA는 지난 11일 부터 이틀간 미국 콜로라도주 덴버 애슬래틱 클럽 에서 SBOM-a-Rama 를 개최했습니다. 이는 SW 및 보안 커뮤니티가 참여하는 글로벌 유일 행사로 과거 유럽연합 위원회와 독일 연방정보기술보안청 일본 경제산업성 관계자가 참여해 위상이 높아졌다는 평가를 받고 있습니다. 행사명처럼 올해 참가자들의 최대 관심사는 소프트웨어자재명세서 다.
예년과 달리 이번 행사가 SBOM 기업 전시를 더해 확장 개최된 점도 그 일환입니다. SBOM은 외부 오픈소스 등을 활용할 때 유입될 수 있는 보안 및 라이선스 문제를 관리하는 일종의 자재명세서다. 보안 위협이 발생할 시 SBOM 내역을 검토해 어느 부분에 구멍이 났는지 한눈에 확인할 수 있어 SW공급망 보안 영역에서 필수 도구로 여겨지고 있습니다. 미국을 비롯한 주요국은 의무화 작업에 돌입한 상태다. 이번 행사에서는 유력한 인사들이 발표자로 참여했습니다. 대표적으로 앨런 프리드만 CISA 시니어 어드바이저를 비롯해 SAP 스플렁크 유나이티드에어라인 록히드마운틴 등 세계 각국 관계자들이 참여해 SW공급망 보안을 실현한 사례를 공유했습니다. 푸르지오 스타셀라49 이들은 SW공급망 보안을 실현하기 위해 신뢰를 높여야 하고 투명성과 보안성이라는 두 핵심 요소를 간과해서는 안 된다는 점을 강조한 것으로 전해집니다.
한국도 발표 명단에 이름을 올리며 글로벌 의견에 뜻을 같이 했습니다. 범정부 SW공급망 보안 가이드라인 집필에 참여한 최윤성 고려대학교 교수는 정부 자문역으로 SBOM 기반 위험 관리 프레임워크 구축을 위한 한국의 노력 을 주제로 발표했습니다. 최 교수는 이번 행사로 SW 공급망 보안이 우리 혼자서 해결할 수 없는 글로벌 이슈이며 전 세계가 관심을 두고 있다는 사실을 이해하는 것이 핵심이라고 느꼈다며 복잡한 공급망에서 투명성과 신뢰를 바탕으로 탁월한 관리 능력을 발휘하면 새로운 리더십이 발전할 수 있다고 생각한다고 소감을 전했습니다. 전시 명단에도 한국 기업이 이름을 올렸습니다. SW공급망 전문 기업 래브라도랩스는 한국 기업 중 유일하게 발표와 전시에 참여해 자사 플랫폼 래브라도 SCM 와 소프트웨어구성분석 를 소개했습니다. 래브라도 SCM은 SW 공급망에 관여하는 모든 기업의 SBOM 생성 보내기 받기 상호 확인 수정 보완 등을 자동화한 솔루션입니다. 래브라도 SCM은 SW 유통 과정에서 취약점을 사전에 점검해 보완하는 제품입니다.
그간 한국은 정보기술 강국으로 불려왔지만 SBOM을 비롯한 SW공급망 보안 분야에서 성숙도가 높지 않다는 평가를 받아왔습니다. 사용하는 SW 종류가 다앙한 것과 대비해 투명성과 보안성 측면에서 이를 고도화하는 작업이 따라오지 못했다는 평가다. 이에 정부는 과학기술정보통신부 국가정보원 디지털플랫폼정부위원회를 필두로 민관 협력을 거쳐 SW공급망 보안 가이드라인 1. 0 을 최근 발표해 SW 개발사 유통사 운영사 역할을 안내하는 기본서를 마련했습니다. 추후에는 산업별 가이드라인 또한 마련될 것으로 전망됩니다. 주요국과 비교했을 때 추진 속도가 더뎠다는 의미다. CISA 또한 이번 행사 안내를 통해 SBOM의 개념은 새로운 것이 아니다라며 학계에서는 1995년 SBOM에 대한 잠재적 가치를 확인했고 이후 모호했던 개념이 글로벌 핵심 의제로 떠오른 상황이라고 강조했습니다.
일례로 미국 바이든 정부는 2021년 행정명령으로 연방정부에 SW공급망 보안 관리를 의무화했고 2022년에는 안전한 정부를 위한 SW공급망 보안 강화 지침 등을 발표하며 의제를 이끌고 있습니다. 때문에 이번 행사에 주요 국가 중 하나로 참여했다는 사실은 SW공급망 보안에 있어 한국에 대한 관심이 증대하고 있다는 점을 방증합니다. 국내 보안업계 관계자는 SBOM-a-Rama에 한국이 정부 방향성과 기술력을 직접 소개했다는 것에 의의가 있다며 추후 새로운 가이드라인이 나오거나 주목받는 기업이 생길 시 글로벌 현장에서 목소리를 낼 기회가 많아질 것으로 본다고 말했습니다. 한편 한국은 SW공급망 보안 경쟁력을 강화할 예정입니다. 업계에 따르면 정부는 국가 SW공급망보안 로드맵을 구체화하고 2027년 제도 시행을 목표로 사전 작업을 추진하고 있습니다.