[정보통신신문=박광하기자]

고려대학교 소프트웨어보안연구소(CSSA, 소장 이희조)는 과학기술정보통신부 및 정보통신기획평가원이 지원하는 '소프트웨어(SW)공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발' 과제에 선정돼 2022년부터 2025년까지 연구를 진행한다.

소프트웨어 자재 명세서(SBOM, Software Bill of Materials)는 SW 패키지 및 구성 요소 등 고유하게 식별 가능한 형식으로 기계가 읽을 수 있는 메타데이터, 저작권 및 라이선스 등 SW 콘텐츠에 대한 기타 정보들을 포함하고 있다. 이 같은 특징을 갖고 있는 SBOM을 활용하면 SW의 보안 취약점, 출처 및 계보, 라이선스 의무 등의 요구사항을 효과적으로 해결 가능하므로 대부분의 조직이 모든 SW 구성요소에 대한 SBOM을 확인하는 데 관심이 있다.

출처를 파악해두지 않은 오픈소스들을 거듭 수정해 활용한다면, 보안사고가 발발해도 어디가 어떤 문제인지 모르니 발 빠른 대처가 어렵다. 작년 연말을 휩쓴 Log4j 사태는 SBOM 필요성을 증명한 대표적 예시다.

미국에서는 SBOM 제출이 이미 의무화됐다.

2021년 5월, 미국 바이든 행정부는 행정명령을 통해 연방기관에 납품하는 SW 제품에 대해 SBOM 제출을 의무화했고, 미 식품의약국(FDA)은 2022년 4월 발표한 'Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions' 지침 초안에서 의료기기에 내장된 SW에 대해 SBOM 제출을 명시했다. 구글은 오픈소스 프로젝트 유지관리 지원 전담조직을 신설했다. 국내 수출 기업의 경우 대응방안 모색이 시급한 시점이다.

고려대 CSSA는 이 같은 세계 흐름에 발맞춰 SBOM 공급망 보안을 위한 기술개발에 나서게 됐다고 설명했다.

고려대 CSSA는 과거 'IoT SW 보안 취약점 자동 분석 기술 개발 과제(2015-2018)', '블록체인 플랫폼 보안취약점 자동분석 기술 개발 과제(2019-2022)'를 수행하며 국내 보안산업 발전에 기여해왔다. 연구소는 기존 연구를 토대로 수정된 오픈소스까지 분석하는 기술, 다양한 언어의 소스코드 취약점을 분석하면서도 정확도를 강화하는 기술 등에 도전할 계획이다.

고려대는 우수 기술 연구뿐 아니라 누구나 활용할 수 있는 SBOM 오픈 플랫폼을 구축하고, 산업 내 실증까지 진행해 국내 SBOM 기술개발의 초석을 다질 예정이다. 2016년 런칭한 IoTcube 플랫폼은 현재까지 2만6000명의 누적 사용자, 99만건의 취약코드 발견을 기록했으며, 이번 연구를 통해 SBOM 자료생성 및 보안취약점 분석 기능을 도입할 계획이다.

고려대 CSSA 소장을 겸하고 있는 이희조 컴퓨터학과 교수는 "국내에서도 본격적으로 SBOM 연구를 진행할 기회가 만들어졌음에 감사하다"며 "디지털 전환이 급격히 진행되고 있는 다양한 산업분야에서 SBOM 관리를 통해 공급망 투명성 확보와 보안 강화, 나아가 국내 산업의 국제 경쟁력 확보에 기여할 수 있도록 노력하겠다"고 소감을 밝혔다.

박광하 기자 다른기사 보기