Home > 열린마당 > 공개SW 소식

공개SW 소식

2021.07.29.
ⓒCIO Korea / Jon Gold | Network World

 

바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 수 있게 될 전망이다. 

SBOM은 소프트웨어 재료명세서(BOM ; Bill of Material)의 약칭이다. BOM은 제조 부문에서 유래된 개념으로, 특정 장치의 제작에 사용된 구성요소와 재료를 낱낱이 파악하는 데 중요한 역할을 한다. 

가령, 기차의 엔진에 사용된 부품이 일정 수준의 진동에 적합한 등급을 못한 경우, 특정 선로를 달리기가 부적합할 수 있다. BOM은 이 같은 상황에서 진가를 발휘하며 SBOM 또한 마찬가지다. SBOM을 통해 특정 소프트웨어에 사용된 전용, 오픈소스 그리고 라이선스 요소에 만료되거나 불안정한 요소가 없는지 검토할 수 있다. 

IDC의 리서치 디렉터 짐 머서는 "SBOM 같은 명세서는 '현재적인 요소'뿐만 아니라 '미래적인 요소'도 보여준다는 장점이 있다”라며 “SBOM을 통해 (소프트웨어의) 현재 구성요소를 파악할 수 있는 것은 물론, 각종 리스크를 피할 수 있다. 가령, 해묵은 오픈소스 소프트웨어를 사용 중인지 여부를 알 수 있다”라고 말했다. 

표준 SBOM 포맷이 등장하면 일부  분야(네트워킹 등)에서 특히 유용할 수 있다. 기존의 지적 자산을 많이 활용하는 여러 스택이 얽혀 있는  영역이다. 최근 일어난 몇몇 악명 높은 보안 침해 사건들은 리플20(Ripple20)과 하트블리드(Heartbleed) 등 흔히 사용되는 소프트웨어 구성요소의 보안 결함에서 비롯됐다. 

451 리서치의 정보보안 리서치 디렉터인 스콧 크로포드는 SPDX, 사이클론DX(CycloneDX) 및 SWID태그(SWIDtags) 등 일부 표준 데이터 포맷들이 SBOM과 같은 형식으로 정보를 표시한다고 전했다. 다만 각 포맷의 역할과 목적은 조금씩 다르다는 설명이다. 

예를 들어, SPDX는 리눅스 재단의 작업 그룹이 관리하는 범용 SBOM 포맷이며, 사이클론DX는 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP)가 개발한 것이다. 후자의 경우 대체로 애플리케이션의 보안 이슈에 초점을 맞추고 있다.

크로포드는 바이든 행정부가 해결하고자 하는 문제 중 하나가 바로 이 같은 SBOM 포맷의 상이함이라고 전했다.

그는 "'알고 있지만 확실치 않은 것'(known unknown)이 식별될 수 있도록 SBOM에 분명하게 표시할 것을 바이든 행정부가 명령했다”라며 "이론적으로는 이를 통해 조립형 소프트웨어의 전체 구성요소를 추적할 수 있다. 하지만 현실적으로 일부 종속성은 식별하기가 어려울 것이다. 충분히 가시화하기 힘든 바이너리가 있을 수 있다"라고 말했다. 

보안 업계 일각에서는 새 포맷을 만드는 대신 SPDX를 기성 표준으로 간주하자는 입장이다. 리눅스 재단은 이런 견해를 환영한다. 가트너의 수석 리서치 디렉터인 데일 가드너는 리눅스 재단 외에도 SPDX를 받아들인 기관이 많다고 설명했다. 단 미 국립표준기술원(NST)은 다소 다른 입장이다.

(후략)

 

[원문 기사 : https://www.ciokorea.com/news/203049 ]

 

※ 본 내용은 한국아이디지(주) (https://www.idg.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 2020 International Data Group. 무단전재 및 재배포 금지. 

맨 위로
맨 위로