2025년도 SBOM 도구 실증 결과보고서 발간
[보안뉴스 강현주 기자] 소프트웨어SW) 공급망 보안 및 소프트웨어 자재명세서(SBOM) 도구 실증으로 국내 의료 기기 제조업체가 글로벌 규제 대응 전략을 수립하는 성과를 거뒀다.
한국정보보호산업협회(KISIA, 회장 조영철)는 고려대학교 컨소시엄과 함께 과학기술정보통신부와 정보통신기획평가원(IITP)의 지원을 통해 수행된 ‘2025 국내·외 SW공급망보안 현황 및 SBOM 도구 실증 결과보고서’를 발간했다고 19일 밝혔다.
이 보고서는 세계적으로 사이버보안의 핵심 축으로 자리 잡은 SW 공급망보안의 최신 동향을 분석한다. 또 아이오티큐브(IoTcube 2.0, HatBOM)를 실제 기업 솔루션에 적용한 실증 결과를 담고 있다.
특히 이번 4차년도 실증은 기존 정보보호 산업을 넘어 의료기기 제조 분야까지 범위를 확대함과 동시에 취약점이 솔루션에 영향을 미치는지 여부를 확인하는 VEX문서 발행 기능을 함께 실증한 것이 특징이다.
정보보호기업 2개사 및 의료기기 제조업체 1개사를 대상으로 실증 참여 기업을 구성했다. SBOM 도구를 활용해 각 기업 솔루션의 구성요소를 식별하고 취약점을 분석하는 1차 실증을 거쳤으며, 도출된 미비점을 보완해 2차 실증을 진행해 최종 성과를 도출했다.
실증 결과 참여 기업들은 단순한 자산 식별을 넘어 ‘SBOM에 기반한 SW 공급망 보안 관리체계’의 수립 토대를 마련했다. 특히 의료기기 제조사는 미국 FDA 등 글로벌 규제 기관의 SBOM 제출 의무화에 대비한 ‘의료기기 인허가 대응 전략’을 수립할 수 있었다. 또 VEX 활용을 통해 취약점 존재 여부가 아니라 취약점 영향도에 기반한 우선순위 결정 체계의 가능성을 확인하는 등 기업의 인식을 제고했다.
KISIA는 고려대학교 소프트웨어보안연구소(CSSA, 소장 이희조), 강원대학교(총장 정재연) 산학협력단, 한국과학기술원(KAIST, 총장 이광형)과 함께 과학기술정보통신부 및 정보통신기획평가원이 지원하는 ‘SW 공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발’ 과제에 공동 연구기관으로 선정돼 2022년부터 연구를 수행했다.
이 실증보고서는 과학기술정보통신부의 재원으로 정보통신기획평가원(IITP)의 지원을 기반으로 한다. KISIA 홈페이지 내 ‘협회공지 및 행사’ 게시판에서 확인할 수 있다.
▲‘2025 국내·외 SW공급망보안 현황 및 SBOM 도구 실증 결과보고서’[출처: KISIA]
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] 소프트웨어SW) 공급망 보안 및 소프트웨어 자재명세서(SBOM) 도구 실증으로 국내 의료 기기 제조업체가 글로벌 규제 대응 전략을 수립하는 성과를 거뒀다.
한국정보보호산업협회(KISIA, 회장 조영철)는 고려대학교 컨소시엄과 함께 과학기술정보통신부와 정보통신기획평가원(IITP)의 지원을 통해 수행된 ‘2025 국내·외 SW공급망보안 현황 및 SBOM 도구 실증 결과보고서’를 발간했다고 19일 밝혔다.
이 보고서는 세계적으로 사이버보안의 핵심 축으로 자리 잡은 SW 공급망보안의 최신 동향을 분석한다. 또 아이오티큐브(IoTcube 2.0, HatBOM)를 실제 기업 솔루션에 적용한 실증 결과를 담고 있다.
특히 이번 4차년도 실증은 기존 정보보호 산업을 넘어 의료기기 제조 분야까지 범위를 확대함과 동시에 취약점이 솔루션에 영향을 미치는지 여부를 확인하는 VEX문서 발행 기능을 함께 실증한 것이 특징이다.
정보보호기업 2개사 및 의료기기 제조업체 1개사를 대상으로 실증 참여 기업을 구성했다. SBOM 도구를 활용해 각 기업 솔루션의 구성요소를 식별하고 취약점을 분석하는 1차 실증을 거쳤으며, 도출된 미비점을 보완해 2차 실증을 진행해 최종 성과를 도출했다.
실증 결과 참여 기업들은 단순한 자산 식별을 넘어 ‘SBOM에 기반한 SW 공급망 보안 관리체계’의 수립 토대를 마련했다. 특히 의료기기 제조사는 미국 FDA 등 글로벌 규제 기관의 SBOM 제출 의무화에 대비한 ‘의료기기 인허가 대응 전략’을 수립할 수 있었다. 또 VEX 활용을 통해 취약점 존재 여부가 아니라 취약점 영향도에 기반한 우선순위 결정 체계의 가능성을 확인하는 등 기업의 인식을 제고했다.
KISIA는 고려대학교 소프트웨어보안연구소(CSSA, 소장 이희조), 강원대학교(총장 정재연) 산학협력단, 한국과학기술원(KAIST, 총장 이광형)과 함께 과학기술정보통신부 및 정보통신기획평가원이 지원하는 ‘SW 공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발’ 과제에 공동 연구기관으로 선정돼 2022년부터 연구를 수행했다.
이 실증보고서는 과학기술정보통신부의 재원으로 정보통신기획평가원(IITP)의 지원을 기반으로 한다. KISIA 홈페이지 내 ‘협회공지 및 행사’ 게시판에서 확인할 수 있다.
▲‘2025 국내·외 SW공급망보안 현황 및 SBOM 도구 실증 결과보고서’[출처: KISIA]
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.jpg)
.png)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
