• IS-150

주요국 SBOM(Software Bill of Materials) 정책 동향 분석

  • 김항규SW기반정책·인재연구실 선임연구원
날짜2022.12.20
조회수9069
글자크기
    • 주요 국가 정부는 SW공급망 투명성 확보 수단 중 하나로 SW제품 내의 구성요소 정보를 기술한 문서, SBOM(Software Bill of Materials)에 주목하고 있다. 이는 공개SW를 비롯한 SW재사용 확산과 함께 신뢰 기반으로 형성된 SW공급망으로 국가 안보에 직·간접적으로 관련된 위협이 증가하고 있음에 기인한다. 디지털 가속화와 함께 신기술의 빠른 도입 수단으로 SW재사용이 전 산업에 걸쳐 필수적인 요소로 평가되는 만큼 관련된 위협 관리도 반드시 해결해야 하는 과제임을 뜻한다. 일본 정부는 경제산업성 내에 소프트웨어TF를 설치하고 의료·자동차·SW 분야에 걸친 SBOM 실증을 통해 개념 정립, 효과성 검증, 제도화 방안을 마련하고 있다. 이러한 움직임은 ICT 사이버보안 종합대책 2022을 통해 ICT 분야로 확대될 전망이다. EU는 공개SW 공급망 관리 측면에서 EU-FOSSA, FOSSEPS 등 프로젝트 추진을 통해 유럽 공공에서의 SW인벤토리를 구축·관리하고자 하고, D-SBOM과 같은 연구개발 프로젝트로 SBOM 원천기술 확보 및 실증에도 노력을 기울이고 있다. 뿐만 아니라 의료기기·IoT 보안 가이드 제시를 통해 SBOM 활용을 권고하고 있으며, 클라우드·의료기기 인증을 비롯해 디지털 요소를 포함한 제품에 SBOM을 적용하는 입법 추진을 통해 제도화 기반 마련 중에 있다. ICT 분야 보안에 관심이 높은 영국도 통신망 서비스 공급망 보안 강화를 위해, 보안 지침에 SBOM과 유사한 기준을 적용하였다. 중국은 SW공급망 보안 강화 방안을 마련하기 위해 SBOM을 검토하는 협력체계 3S-LAB을 구성하였고, CAICT를 중심으로 SBOM 관련 백서 및 가이드를 발간해 활용 확산을 위한 저변을 확대하였다. 네덜란드는 주요 국가에서 추진하고 있는 SBOM 정책을 모니터링함으로써 효과적인 SBOM 도입 방안을 마련하였다. SW공급망 투명성 확보를 위해 SBOM 관련한 백서·가이드 배포, 실증 추진, 제도화 방안 마련 등의 글로벌 동향이 확인되고 있다. 국내 SW산업의 글로벌 경쟁력을 평가하는 기준으로 SBOM을 인식하고 기업에서는 생산·유통·활용 측면에서의 SBOM 도입을 적극적으로 검토해야 한다. 이를 뒷받침하는 정부의 지원 정책도 중장기적인 관점에서 준비될 필요가 있다.
  • Executive Summary
    • Global governments are paying attention to SBOM (Software Bill of Materials), a document that describes the component information in software products, as one of the means to enhance the transparency of the software supply chain. This is due to the increase in threats such as security and license through the software supply chain formed on the basis of trust along with the spread of software reuse including open source software. As software reuse is evaluated as an essential element across all industries as a means of rapid application of new technologies along with digital transformation acceleration, it means that the management of the threats is also recognized as a task that must be solved. The Japanese government has established a software task force within the Ministry of Economy, Trade and Industry, and is preparing a way to establish a concept, verify effectiveness, and institutionalize it through SBOM proof-of-concept in the medical, automotive, and software fields. This movement is expected to expand to the ICT sector through the ICT Cyber ​​Security Comprehensive Measures 2022. In terms of open source software supply chain management, the EU intends to build and manage a software inventory for European public services by promoting projects such as EU-FOSSA and FOSSEPS. In addition, the use of SBOM is recommended through the medical device and IoT security guide, and the institutionalization foundation is being laid by promoting legislation to apply SBOM to products including digital elements, including cloud service and medical device certification. The UK, which is highly interested in ICT security, also applied SBOM-like baselines to security guidelines to strengthen the security of the communication network service supply chain. China formed 3S-LAB, a cooperative system to review SBOM in order to prepare measures to strengthen software supply chain security, and published SBOM white papers and guides centering on CAICT, expanding the basis for widespread use. The Netherlands came up with an effective SBOM introduction plan by monitoring the SBOM policies promoted by other countries. Global trends, such as distributing SBOM white papers and guides, promoting proof-of-concept, and preparing institutionalization measures to ensure transparency in the software supply chain, are being confirmed. Recognizing SBOM as a standard for evaluating the global competitiveness of the domestic software industry, companies should actively review the introduction of SBOM in terms of production, distribution, and application. The government's promotion policies that support this need should be prepared from a mid- to long-term perspective.