최근 전 세계적으로 소프트웨어 공급망 보안의 중요성이 강조됨에 따라 SBOM(Software Bill of Materials)이 핵심 화두로 떠오르고 있습니다. 특히 KISA(한국인터넷진흥원)가 발표한 SW 공급망 보안 가이드라인 1.0은 국내 소프트웨어 생태계의 보안 강화와 국제 규제 대응을 위한 실질적인 로드맵을 제시합니다.
이 글에서는 KISA 가이드라인의 핵심 내용과 SBOM에 대한 전반적인 내용 그리고 SBOM 생성 및 관리를 위한 효과적인 도구 Sparrow SCA를 상세히 살펴보겠습니다.
SBOM의 중요성과 기능
SBOM은 Software Bill of Materials의 약자로 소프트웨어에 포함된 모든 구성요소의 목록을 의미하며 오픈소스 및 서드파티 컴포넌트, 라이브러리, 의존성 등을 상세히 기록한 목록입니다.
| sbom 기능 | 이점 |
| 구성 요소 추적 | 소프트웨어에 포함된 모든 오픈소스 및 서드파티 컴포넌트를 명확히 파악 |
| 취약점 관리 | 실시간으로 취약점을 탐지하고 신속히 패치 |
| 라이선스 컴플라이언스 | 오픈소스 라이선스의 법적 리스크 사전 방지 |
| 공급망 투명성 | 소프트웨어 공급망의 복잡성 해소 및 투명성 확보 |
SBOM의 주요 목적과 특징
보안관리
SBOM은 소프트웨어의 보안 취약점을 식별하고 이를 관리하는데 중요한 역활을 합니다. 소프트웨어 보안 취약점을 식별하고 이를 관리하는 데 중요한 역할을 합니다. 소프트웨어 구성요소가 어떤 라이브러리나 패키지에 의존하는지 명확하게 파악할 수 있기 때문입니다. 보안 취약점이 발견되었을 때 해당 구성 요소를 사용한 소프트웨어의 취약점 추적도 가능합니다.
예시로 OpenSSL 라이브러리에서 보안 취약점이 발견된다면 SBOM을 통하여 이 취약점이 발견된 모든 소프트웨어를 파악이 가능하며 해당 소프트웨어의 패치나 업데이트를 신속하게 진행할 수 있습니다.
라이선스 및 컴플라이언스 관리
소프트웨어 개발 시 다양한 오픈소스 라이브러리와 패키지를 함께 사용하는 경우가 많습니다. 이러한 경우 각각의 라이브러리의 라이선스를 명확히 파악하는 것은 매우 중요합니다. SBOM은 사용된 모든 소프트웨어 구성 요소와 그 라이선스 정보를 기록하여 법적, 규제적 요구사항을 준수하는 데 도움을 줄 수 있습니다.
투명성 제공
SBOM은 소프트웨어의 구성 요소를 명확히 나열함으로써 개발자, 보안 전문가, 운영팀 및 최종 사용자에게 투명성을 제공합니다. 이는 제3자 소프트웨어 사용, 공급망 공격 시 중요한 역할을 합니다.
SBOM의 구성요소

- 소프트웨어 구성 요소 이름: 사용된 라이브러리 패키지, 패키지, 모듈 등의 이름
- 버전: 각 구성 요소의 버전
- 저작권 정보 및 라이선스: 각 소프트웨어 구성 요소의 라이선스 정보
- 의존성: 소프트웨어가 다른 구성 요소에 의존하는 방식
- 보안 취약점: 알려진 보안 취약점에 대한 정보 (예: CVE 목록)
- 제공자 정보: 해당 소프트웨어를 제공하는 조직이나 개인에 대한 정보
KISA SW 공급망 보안 가이드라인의 주요 내용
글로벌 보안 위협 증가
SolarWinds 해킹, Log4j 취약점 사태 등 소프트웨어 공급망을 통한 대규모 사이버 공격이 증가하면서, 국제적 차원의 보안 위협에 대응이 시급해졌습니다.
해외 규제 확대
미국의 Executive Order 14028, EU의 NIS2 지침 등 주요국은 SBOM 제출을 의무화하고 있습니다. 이에 따라 국내 기업의 해외 시장 진출 시 규제 준수와 보안 경쟁력 확보가 중요한 과제로 대두되고 있습니다.
국내 SW 생태계 보호
국산 소프트웨어의 SBOM 실증 및 테스트베드(판교) 운영 결과를 반영하여, 실무 중심의 가이드라인이 마련되었습니다. 이를 통해 국내 소프트웨어의 신뢰성을 높이고, 보안 취약점을 효과적으로 관리할 수 있도록 지원합니다.
오픈소스 사용의 확대
현재 대부분의 소프트웨어가 80% 이상 오픈소스로 구성되어 있습니다. 이러한 상황에서 오픈소스의 취약점 관리와 라이선스 준수를 위해 SBOM 활용은 반드시 필요합니다.
주요 구성
SBOM 기반 관리체계
SBOM을 활용한 소프트웨어 구성 요소 추적, 취약점 대응, 라이선스 컴플라이언스 관리 방안을 효과적으로 관리할 수 있습니다. 특히, SPDX, CycloneDX 등 국제 표준 형식 지원을 강조함으로써, 다양한 시스템 간의 상호운용성을 보장합니다.
실무 지침
SBOM 유효성 검증: SBOM 생성 및 배포 과정에서의 검증 절차와 도구 활용 방법을 명시합니다.
- 구성 요소 관리: 오픈소스와 서드파티 컴포넌트의 취약점 식별, 패치 프로세스 체계화
- 공급망 위협 대응: 협력사와의 보안 요구사항 공유 및 모니터링 체계 구축, 전체 공급망의 보안 강화
정부 지원 계획
- 중소기업 지원: SBOM 도입으로 인한 개발 비용 증가 완화를 위해, 기술 지원 및 재정 지원 프로그램 운영 예정
- 시범 적용: 디지털 플랫폼 정부 주요 시스템에 SBOM 시범 도입, 우수 사례 확산 계획
- 국제 협력: 미국·유럽 등과의 협력을 통해 국제 표준과의 호환성 강화, 해외 시장 진출 장벽 완화 정책 추진
주요국 SBOM 현황 비교
| 국가 | 주요정책 | 현황 |
| 미국 | Executive Order 14028 | 연방 기관에 SBOM 제공 의무화, NTIA가 표준 및 가이드라인 제시 |
| EU | NIS2 지침, Cybersecurity Act | 공급망 보안 강화 위한 SBOM 도입 추진 중 |
| 일본 | 경제산업성(METI) 가이드라인 | SBOM 도입 위한 실험적 프로젝트 진행 중 |
| 한국 | KISA SW 공급망 보안 가이드라인 | 공공·금융 분야 중심 SBOM 도입 검토 중 |
SBOM 표준 비교
| 표준 | 주요 특징 | 적합한 사용 사례 |
| SPDX | Linux Foundation 주도, 사실상 표준 | 대규모 프로젝트, 복잡한 라이선스 관리 |
| CycloneDX | OWASP 주도, 경량화된 형식, 보안 취약점 관리에 특화 | 보안 중심 프로젝트 |
| SWID | ISO/IEC 19770-2 표준, 소프트웨어 식별 태그 제공 | 소프트웨어 식별 및 추적 |
SBOM 생성 및 관리 도구: SPARROW SCA

NIS-SBOM과 공급망 보안 가이드라인을 준수하기 위한 기능을 제공합니다. SPDX, CycloneDX, SWID와 같은 국제 표준 형식으로 SBOM을 출력하여 소프트웨어 보안 취약점과 라이선스를 효과적으로 관리할 수 있습니다.
SPARROW SCA의 장점
- 방대한 DB 및 자동 수집 기술: 머신 러닝 기법을 활용한 자동 데이터 수집 기술로 실시간 오픈소스 데이터 확보
- AI를 통한 향상된 탐지 성능: 수정된 코드, Copy-Paste(Snippet), 바이너리 및 압축파일 탐지 기능
- 다양한 SBOM 표준 지원: SPDX, Cyclone DX, SWID tag, NIS SBOM 표준
- 손쉬운 연동 및 통합 플랫폼: IDE Plug-In 연동, 정적분석, 동적분석, 오픈소스 보안 통합관리
- 공급자와 수요자 입장 모두에서 오픈소스 관리: SW에 대한 SBOM 생성 및 공급자로부터 제공받은 SBOM 분석 가능
- 다양한 언어 분석 지원: JAVA, Javascript, PHP, ASP.NET, Ruby, Python, Swift, Objective-C, C/C++
오픈소스 소프트웨어 분석

사용 중인 오픈소스 소프트웨어를 자동으로 분석하여 라이선스 정보 식별 및 보안 취약점을 검출합니다.
오픈소스 소프트웨어의 소스코드를 직접 사용하거나 압축파일 또는 바이너리 형태로 사용할 경우 모두 분석이 가능합니다.
편리한 분석 결과 확인 기능

웹 기반 UI를 통해 누구나 손쉽게 오픈소스 소프트웨어 분석에 접근하고 분석 결과를 확인할 수 있습니다.
SBOM(소프트웨어 자재명세서) 생성을 비롯하여 소프트웨어 구성 컴포넌트 정보를 포함한 다양한 형태의 보고서를 지원합니다.
다수 사용자에 최적화된 시스템

사용자와 분석에 사용되는 정책 및 검출된 보안 취약점이나 확인된 라이선스 정보에 대한 예외를 중앙에서 관리 및 제어가 가능하며 다수 사용자 개발 환경에 최적화된 관리 기능을 제공합니다.
결론
KISA의 SW 공급망 보안 가이드라인은 국내 소프트웨어 생태계의 보안 강화와 국제 규제 대응을 위한 실질적인 로드맵을 제공합니다. SBOM은 현대 소프트웨어 개발에서 매우 중요한 요소로 소프트웨어 공급망의 투명성을 보장하고 보안 취약점을 사전에 관리할 수 있도록 하는 핵심 도구로 자리 잡았습니다.
SPARROW SCA 정적 분석 및 오픈소스 보안 관리를 통해 SBOM 생성 및 관리를 지원하며, DevSecOps 환경에서 소프트웨어 검증과 테스트 자동화를 구현하는 데 큰 역할을 합니다.
모아소프트에서 관련 솔루션과 교육까지 제공하는 SPARROW SCA가 여러분의 든든한 파트너가 되어드리겠습니다.
문의 및 기술 협력
- 대표 문의: 02-420-3203
- 홈페이지: https://moasoftware.co.kr/contact-us/








