한국정보보호산업협회과 고려대 컨소시엄이 국제 기준에 부합한 SBOM 자동생성 도구를 개발했다.

한국정보보호산업협회(KISIA·회장 조영철)는 고려대학교 컨소시엄의 R&D 과제로 개발된 SBOM 자동생성 도구에 대한 실증 결과를 담은 보고서를 11일 발간했다.


한국정보보호산업협회(KISIA)는 고려대 등 컨소시엄과 개발한 SBOM 자동생성 도구에 대한 실증 보고서를 발간했다.
이 보고서는 미국 정보통신국(NTIA)가 제시한 SBOM 도구 및 명세서 기준을 바탕으로, 고려대 컨소시엄이 개발한 관련 도구를 실제 정보보호 기업의 솔루션에 적용해 실증한 결과를 담았다.

SBOM(Software Bill of Materials)은 소프트웨어 제품에 쓰인 모든 구성요소 명세를 기록하는 것으로, 취약점을 식별해 소프트웨어 공급망 보안을 강화한다. 미국과 유럽 등 주요 국가에서 소프트웨어 보안을 위해 정책적으로 도입하는 추세다.

실증 결과, 컨소시엄이 개발한 SBOM 도구는 NTIA가 제시한 SBOM 도구의 9가지 기능 유형을 만족하는 것으로 나타났다. SBOM 명세서 역시 NTIA 최소구성요소의 7가지 요소를 충족했다.

실증에 참여한 정보보호 기업들 역시 SBOM 도구를 통해 SW 투명성과 오픈소스 관리 효율성 제고 효과를 체감하고, SW 공급망 보안의 중요성을 인지하는 계기가 됐다고 보고서는 밝혔다.

KISIA는 고려대학교 소프트웨어보안연구소(CSSA·소장 이희조), 강원대학교(총장 정재연) 산학협력단, 한국과학기술원(KAIST·총장 이광형)과 함께 과학기술정보통신부 및 정보통신기획평가원(IITP)이 지원하는 ‘SW 공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발’ 과제에 공동 연구기관으로 선정되어 2022년부터 연구를 진행 중이다.

┖SBOM 독 실증 결과보고서┖는 과학기술정보통신부 재원으로 IITP 지원 받아 수행됐다. 원문은 KISIA 홈페이지에서 확인할 수 있다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>