안녕하세요. 오픈소스 전문 기업 엘에스웨어의 오픈소스 사업본부 블로그에 오신 걸 환영합니다.
오늘은 안전한 오픈소스 활용을 위한 첫걸음이자 공급망 보안에 중요한 이슈로 떠오르는 SBOM에 대해 소개합니다.
SBOM은 매우 중요도가 높은 주제인 만큼 여러 번 언급이 됐었는데요. 오늘은 SBOM의 정의와 더불어 SBOM이 중요한 이유, SBOM의 구성 내용, 그리고 포세라 포털 위드 블랙덕을 통해 SBOM 의무에 대비하는 방법에 대하여 더욱 자세하게 알아보겠습니다.
SBOM이란?
SBOM은 Software Bill of Materials의 줄임말로 “소프트웨어 자재 명세서”라는 뜻이며, 코드 베이스에 있는 모든 오픈소스를 비롯하여 타사 구성 요소의 목록입니다. 국제적으로 대표적인 표준은 사이클론DX와 SPDX가 있습니다.
제조업에서 비롯된 자재 명세서(BOM)는 제품에 포함된 모든 품목을 자세하게 설명하는 인벤토리를 의미합니다. 한 업체에서 자재 명세서를 작성할 때는 직접 제작한 부품과 타사 공급업체의 부품을 나열하며, 자재 코드 & 품명 & 규격 단위 등 자재와 관련된 정보를 기재합니다. 이러한 자재 명세서를 통해 자재의 변동 상황을 효과적으로 관리하고, 결함이 있는 부품이 발견된다면 영향을 받는 부분을 빠르게 파악하여 처리할 수 있습니다.
마찬가지로 소프트웨어의 자재 명세서인 SBOM은 코드 베이스에 적용되는 라이선스나 구성 요소의 버전 및 패치 상태를 확인할 수 있도록 합니다. 소프트웨어를 구축하는 기업에서는 SBOM을 통해 정확한 최신 구성 요소 목록을 정리함으로써 코드 베이스의 품질, 규정 준수 및 보안을 유지하는 게 필요합니다.
SBOM은 필수!
SBOM이 공급망 보안에 중요한 주제로 떠오른 배경에는 과거 공급망을 공격했던 카세야, Log4j(로그포제이)와 같은 보안 침해 사건이 있습니다. 이에 따라 2021년 5월 미국의 바이든 정부는 소프트웨어를 보호하는 방법에 대한 사이버보안 행정 명령을 발표했습니다. 이 명령에는 연방정부와 사업 계약을 맺은 모든 기관과 업체를 대상으로 SBOM 제출을 의무화하는 내용도 포함되어 있습니다. 또한, EU도 올해부터 공공기관에 소프트웨어를 납품하는 기업을 대상으로 제품 납품 시 각 제품의 세부 사항을 제출하는 것을 의무화하는 데 속도를 내고 있습니다.
전세계적인 공급망 위협 대비에 발맞춰 우리 정부도 이번 3월 ICT 공급망 보안 가이드라인을 공개합니다. 해당 가이드라인에는 국내 기업의 SBOM 인식 확대를 위해 SBOM의 정의와 SBOM의 표준 등의 내용이 담길 것으로 예상됩니다.
치명적인 위험을 일으킬 수 있는 공급망 위협에 대비하기 위해서 국내외 소프트웨어 기업의 SBOM 도입 의무는 선택이 아닌 필수가 되고 있습니다.
SBOM의 주요 내용
앞서 말했듯 SBOM은 소프트웨어 구성 요소의 라이선스 및 버전 정보, 취약점 정보를 포함하는 전체 코드 베이스 리스트입니다. 이 SBOM은 어떤 내용들을 담고 있을까요?
1) 오픈소스 컴포넌트
SBOM은 오픈소스 활용에 대한 가시성을 확보할 수 있도록 합니다. 개발 단계에서 어떤 오픈소스가 활용됐는지, 그리고 활용한 오픈소스 구성 요소와 해당 구성 요소의 라이선스, 버전, 패치 상태가 나열됩니다.
2) 오픈소스 라이선스
오픈소스의 라이선스를 준수하지 않으면 기업은 지적 재산 침해로 인한 치명적인 리스크에 처할 수 있습니다. SBOM에는 오픈소스 라이선스 정보가 나열되어 있어서 라이선스로 인한 충돌, 배포, 분쟁 등 문제 요소를 미리 파악하고 대비할 수 있습니다.
3) 오픈소스 버전
업데이트되지 않은 오래된 코드는 코드 품질, 안정성, 보안 등 다양한 위험으로 이어질 수 있습니다. SBOM에는 코드에 포함된 오픈소스 구성 요소의 버전 목록을 제공하여 잠재적인 위험이 될 수 있는 오래된 코드를 파악할 수 있습니다.
4) 오픈소스 보안 취약점
치명적인 보안 취약점이 발견되면 빠르게 해당 취약점을 파악하고 이를 악용하기 전 패치를 통해 공격을 막는 것이 중요합니다. 이때, SBOM의 오픈소스 보안 취약점 리스트를 바탕으로 코드 베이스의 위험을 신속하게 식별하고 위험에 대비할 수 있습니다.
SBOM 준비하기 with 포세라 포털 위드 블랙덕
SBOM으로 보안 위협에 대비하고, 오픈소스를 안전하게 활용하는 방법은 무엇일까요? 바로 강력한 SCA 도구 블랙덕과 100% 연동되는 오픈소스 통합 관리 포털, 포세라 포털 위드 블랙덕을 활용하는 것입니다.
포세라 포털 위드 블랙덕은 글로벌 1위 SCA 도구 블랙덕의 정확한 점검 결과를 바탕으로 SBOM을 생성하며, 지속적으로 업데이트 되는 최신 정보를 통해 오픈소스 프로젝트의 버전 정보, 취약점 정보, 라이선스 정보를 한눈에 파악할 수 있습니다.
개발자와 오픈소스 관리자 모두 편리하게 오픈소스를 관리 및 활용할 수 있는 포세라 포털 위드 블랙덕으로 공급망 위협에 효율적으로 대비할 수 있습니다.
지금 바로 아래 네임카드를 통해 오픈소스 보안 전문 기업 엘에스웨어의 포세라 포털 위드 블랙덕을 만나보세요!
엘에스웨어
📍서울특별시 금천구 서부샛길 606 대성디폴리스 A동 18층
📞 02-6919-0321
📧 opensource@lsware.com
'오픈소스' 카테고리의 다른 글
| 오픈소스 라이선스 양립성 :: 오픈소스 사용 시 필수 체크 사항 (1) | 2024.04.12 |
|---|---|
| 오픈소스 보안 취약점 CVE와 SCA 솔루션 블랙덕에 대한 이해 (1) | 2024.04.05 |
| 구글의 안드로이드 오픈소스 프로젝트 AOSP와 Apache 라이선스 (1) | 2024.02.15 |
| 오픈소스 소프트웨어 관련 용어 알아보기 :: OSS, OSD, SCA, SBOM, SPDX (1) | 2024.02.07 |
| 오픈소스 GPL 라이선스의 이해 :: 오픈소스 관리의 중요성 (0) | 2024.02.01 |
