SW 안전성 - 공급망 보안 - SBOM (Software Bill of Materials)

SW공급망 투명성 확보 수단

SW구성요소에 대한 명세서로, SW를 이루는 구성요소의 세부 정보와 의존관계에 대한 정형화된 기술(description)을 의미

 

 

SW 공급망의 개발-유통-운영-패치 등 예시[자료=과기정통부]

SW 공급망 보안 가이드라인, 2024.04

 

▲SW 개발 생명주기에 따른 SBOM 관리 방안[자료=과기정통부]

 

 

SW중심사회 23년 1월호_SBOM.pdf

1.40MB

 

 

OSS 추적성을 위한 SBOM 동향

출처: 김선우, 손경호. (2022). OSS 추적성을 위한 SBOM 동향. 정보보호학회지, 32(5), 53-66.

 

기존의 OSS 관리 도구는 취약점이 발견되면 감염된 라이브러리를 사용하는 애플리케이션을 식별하는 데 시간이 많이 걸리고, 크기에 따른 시간 지연과 같은 단점이 존재한다. 

또한, 취약점이 있는 라이브러리를 사용하는 애플리케이션을 식별해도 오탐지 가능성과 OSS의 가시화가 부족한 경우도 존재한다. 이러한 문제로 인해 OSS 추적성을 위한 새로운 방법으로 SBOM(Software Bill of Materials)을 사용하는 방법이 현재 연구중이다. 

 

 

SW Lifecycle & BoM Assembly Line[NTIA Survey of Existing SBOM Formats andStandards, 2021]

https://zephyrproject.org/how-do-sboms-support-safety-critical-software/

How do SBOMs Support Safety Critical Software? - Zephyr Project

 

기본적으로 국제 SBOM 표준인 국제웹보안표준기구(OWASP)의 ‘사이클론(Cyclone) DX’와 리눅스 재단의 ‘SPDX’를 바탕으로 취약점을 가려내는 한편 세부 분석을 위한 자체 엔진도 함께 활용한다.

현재 국정원과 과기정통부가 만들고 있는 가이드라인은 ‘오픈소스’ 취약점에 초점을 맞춘 한국형 SBOM이 담길 것으로 알려졌다. SW 업계 전반이 오픈소스 활용을 늘리는 추세인데다, 여러 기여자가 함께 만드는 오픈소스 특성 상 보안 취약성 우려가 커지고 있어서다.

실제 2021년 오픈소스 라이브러리 ‘로그4j(Log4j)’ 취약점 사태는 큰 피해를 낳았다. 정확히 SW의 어떤 부분에 log4j가 쓰였는지를 파악하지 못해 수많은 보안 이슈가 불거졌다. 이를 기점으로 SW 공급망 보안 강화 논의도 급물살을 탔다.

 

https://spri.kr/posts/view/23592?code=&study_type=&board_type= 

2023년 4월호 - SPRi

https://ettrends.etri.re.kr/ettrends/203/0905203008/081-094.%20%EB%A5%98%EC%9B%90%EC%98%A5_203%ED%98%B8.pdf

 

https://byline.network/2024/02/240229_004/

‘SW 공급망 보안’에 힘주는 레드펜소프트, AI로 설명까지 술술 - 바이라인네트워크

https://byline.network/2024/03/240311_003/

보안 솔루션에 들어온 ‘생성AI’ - 바이라인네트워크

https://dpg.go.kr/DPG/contents/DPG02020000.do?schM=view&page=1&viewCount=9&id=&schBdcode=&schGroupCode=&id=20240513105420991857

디지털플랫폼정부위원회>새소식>보도자료 상세

https://www.kisa.or.kr/2060204/form?postSeq=15&page=1#fnPostAttachDownload

KISA 한국인터넷진흥원