SBOM 이란 무엇인가?

SBOM(Software Bill of Materials)

과거부터 현재까지 오픈소스 관련 보안 이슈들을 대응하면서 제로데이 취약점 오픈 시 기업자산의 오픈소스 사용여부, 사용중인 소프트웨어 명과 버전 등 리스크 점검에 필요한 작업을 수작업으로 진행해오면서 '조금 더 효율적인 방법은 없을까?' 라는 고민을 하였다.
Log4Shell, HeartBleed 등 오픈소스 보안 취약점이 발견되면서 세계적으로 보안 위협 문제가 대두되었고 이에 오픈소스의 출처와 버전, 설치경로 등 대응 및 운영에 필수인 SBOM 이 각광받고 있다.

📑 소프트웨어 자재 명세서

SBOM, 소프트웨어 패키지의 구성 요소같은 기계가 읽을 수 있는 정보(메타데이터, 저작권 및 라이선스 등) 그리고 기타정보들을 포함하는 명세서이다.
* BOM(Bill of Material, 자재명세서)은 생산, 판매시에 소요되는 자재,원재료등을 세부적으로 정리한 리스트이다.

📌 SBOM 동향

2022년 Open Source Security And Risk Analysis report 의 내용을 보면 최근 오픈소스 취약점 관리가 얼마나 중요한지 보여준다.

미국의 경우 '미국 사이버보안 개선에 관한 행정 명령(EO)'에 따라, 소프트웨어 서비스 업체는 연방 기관에 판매/제공하는 소프트웨어의 SBOM을 제출을 의무화하도록 발표(2021.05)하였으며 이는 복잡한 소프트웨어 공급망에 대한 이해와 S/W 취약점과 위험을 추적할 수 있도록하는 계기가 되었다.

📌 그래서 SBOM 솔루션이 필요한거야?

개발과 정보보안을 모두 경험한 사람으로써 개발자는 SBOM의 중요성을 깨닫고 정보보안은 SBOM을 적극 활용할 수 있어야 한다고 본다.
SBOM 관리를 하려면 S/W 설계/개발 시 자체 개발, 3rd-party Libary 등 복잡하게 얽힌 코드를 자체 검토해야 하는데, 라이브러리 중 일부 포함된 오픈소스, 확인 불가한 바이너리 형태의 상용 라이브러리의 오픈소스 사용 유무와 같이 분석도구, 방대한 SBOM 정보 수집 등 기능을 포함한 솔루션으로 적극 대응해야 한다.

📌 그럼 SBOM 솔루션은 뭐가 있는데?

특히 국내에 오픈소스 관리 도구인 '스패로우 SCA' 가 있는데, 이는 오픈소스 소프트웨어 라이센스 식별하고 취약점 진단을 수행하고, SPDX 형식을 사용해 SBOM 생성하는 기능이 존재한다.
또한, 사용하는 오픈소스와 바이너리도 분석을 통해 의존성 파일 , 스니펫 분석이 가능하다고 한다.
국내 SBOM 솔루션(스패로우 SCA)

해외 SBOM 솔루션 사례(Revenera)

📌결론

나는 오픈소스 소프트웨어의 취약점 관리의 중요성을 느끼게 되었고, 그 해결방법이 SBOM에 있다는 점을 배우게 되었다.

지금까지의 학습한 내용으로 보면 최근 SBOM에 대한 국내 관심이 높아지고 있고, 이미 해당 문제점을 해결할 수 있는 솔루션도 국내에 출시한 것으로 확인되었다.

하지만 오픈소스 소프트웨어 취약점의 미흡한 대응에도 불구하고 기업에서는 대수롭지 않게 생각하고 '이 또한 지나가리라' 라고 안일하게 생각하고 있진 않을까? 라는 생각이다..

지식 제공자

1) ICT 산업계, 보안 강화 위해 자재명세서 솔루션 '주목' - 정보통신신문
2) 낱낱이 SW 요소 공개하라··· 美 정부의 'SBOM 의무화'가 미칠 영향-CIO Korea
3) 글로벌 칼럼 | ‘선택 아닌 필수’ SBOM 관리의 중요성-itworld
4) SBOM 가이드 - NIPA 글로벌ICT 포털
5) 소프트웨어 BOM(Bill of Materials) - medium
6) [2월 월간브리핑] SBOM이 사이버 보안을 개선하는 데 미치는 영향 - 정보통신산업진흥원 OSS