낱낱이 SW 요소 공개하라··· 美 정부의 'SBOM 의무화'가 미칠 영향
2021.07.29.
ⓒCIO Korea / Jon Gold | Network World
바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 수 있게 될 전망이다.
SBOM은 소프트웨어 재료명세서(BOM ; Bill of Material)의 약칭이다. BOM은 제조 부문에서 유래된 개념으로, 특정 장치의 제작에 사용된 구성요소와 재료를 낱낱이 파악하는 데 중요한 역할을 한다.
가령, 기차의 엔진에 사용된 부품이 일정 수준의 진동에 적합한 등급을 못한 경우, 특정 선로를 달리기가 부적합할 수 있다. BOM은 이 같은 상황에서 진가를 발휘하며 SBOM 또한 마찬가지다. SBOM을 통해 특정 소프트웨어에 사용된 전용, 오픈소스 그리고 라이선스 요소에 만료되거나 불안정한 요소가 없는지 검토할 수 있다.
IDC의 리서치 디렉터 짐 머서는 "SBOM 같은 명세서는 '현재적인 요소'뿐만 아니라 '미래적인 요소'도 보여준다는 장점이 있다”라며 “SBOM을 통해 (소프트웨어의) 현재 구성요소를 파악할 수 있는 것은 물론, 각종 리스크를 피할 수 있다. 가령, 해묵은 오픈소스 소프트웨어를 사용 중인지 여부를 알 수 있다”라고 말했다.
표준 SBOM 포맷이 등장하면 일부 분야(네트워킹 등)에서 특히 유용할 수 있다. 기존의 지적 자산을 많이 활용하는 여러 스택이 얽혀 있는 영역이다. 최근 일어난 몇몇 악명 높은 보안 침해 사건들은 리플20(Ripple20)과 하트블리드(Heartbleed) 등 흔히 사용되는 소프트웨어 구성요소의 보안 결함에서 비롯됐다.
451 리서치의 정보보안 리서치 디렉터인 스콧 크로포드는 SPDX, 사이클론DX(CycloneDX) 및 SWID태그(SWIDtags) 등 일부 표준 데이터 포맷들이 SBOM과 같은 형식으로 정보를 표시한다고 전했다. 다만 각 포맷의 역할과 목적은 조금씩 다르다는 설명이다.
예를 들어, SPDX는 리눅스 재단의 작업 그룹이 관리하는 범용 SBOM 포맷이며, 사이클론DX는 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP)가 개발한 것이다. 후자의 경우 대체로 애플리케이션의 보안 이슈에 초점을 맞추고 있다.
크로포드는 바이든 행정부가 해결하고자 하는 문제 중 하나가 바로 이 같은 SBOM 포맷의 상이함이라고 전했다.
그는 "'알고 있지만 확실치 않은 것'(known unknown)이 식별될 수 있도록 SBOM에 분명하게 표시할 것을 바이든 행정부가 명령했다”라며 "이론적으로는 이를 통해 조립형 소프트웨어의 전체 구성요소를 추적할 수 있다. 하지만 현실적으로 일부 종속성은 식별하기가 어려울 것이다. 충분히 가시화하기 힘든 바이너리가 있을 수 있다"라고 말했다.
보안 업계 일각에서는 새 포맷을 만드는 대신 SPDX를 기성 표준으로 간주하자는 입장이다. 리눅스 재단은 이런 견해를 환영한다. 가트너의 수석 리서치 디렉터인 데일 가드너는 리눅스 재단 외에도 SPDX를 받아들인 기관이 많다고 설명했다. 단 미 국립표준기술원(NST)은 다소 다른 입장이다.
(후략)
[원문 기사 : https://www.ciokorea.com/news/203049 ]
※ 본 내용은 한국아이디지(주) (https://www.idg.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 2020 International Data Group. 무단전재 및 재배포 금지.
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 365478 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 355265 | 2020-10-27 |
9500 | ‘오픈소스’, 미래 SW산업 생태계를 바꾸다 | 4623 | 2021-07-29 |
9499 | 낱낱이 SW 요소 공개하라··· 美 정부의 'SBOM 의무화'가 미칠 영향 | 4829 | 2021-07-29 |
9498 | 깃허브, ‘개발자 권리 펠로우십’ 발표··· DMCA 분쟁 해결 지원 | 4047 | 2021-07-28 |
9497 | [주간 OSS 동향 리포트] 공공 '클라우드 전면전환' 시동.. '국산·공개소프트웨어' 활성화 이끈다 | 4507 | 2021-07-27 |
9496 | MS, 타입스크립트 4.4 베타 출시··· “성능 개선 및 제어 흐름 분석 지원" | 4815 | 2021-07-27 |
9495 | 데이터 과학을 위해 '더 개선된' 최신 필수 파이썬 툴 6가지 | 4874 | 2021-07-27 |
9494 | 공공 '클라우드 전면전환' 시동…'국산·공개 SW' 활성화 이끈다 | 4601 | 2021-07-26 |
9493 | [FTA 시대 훌쩍 넘는 농업의 '제3인류'-에필로그] "틱톡·넷플릭스·아마존 알고리듬처럼" 초개인화(Hyper-Personalization)로 진화하고 있는 농업 | 4705 | 2021-07-26 |
9492 | 인공지능이 생물학‧의학에 혁신적인 비전 제시!... 딥마인드 AI '알파폴드' 인간 단백질 2만개, 3D 구조 등 예측하고 가장 완벽한 데이터베이스 공개 | 5075 | 2021-07-26 |
9491 | 리눅스 커널에서 7년 동안 아무도 몰랐던 취약점 2개 발견돼 | 4609 | 2021-07-26 |
0개 댓글