SBOM(Software Bill of Material)

<알게 된 계기>

- 2022 사이버보안 컨퍼런스를 참석했는데, 오픈소스 소프트웨어의 취약점 관리방안 中 하나로 알게 되었다.

- 솔라윈즈 사태, Log4j 취약점 사태 등 공급망 공격(Supply Chain Attack)을 겪으면서 필요성이 더 커지게 되었다.

- 실제 작년에 Log4j 취약점을 조치하면서 체계 안에 이러한 소프트웨어가 운영중이라는 것도 몰랐기 때문에 개인적으로도 오픈소스를 도입할 때는 유용할 것으로 생각했다.

<SBOM(Software Bill of Material) 개요>

- 간단하게 말하면, 도입되는 소프트웨어 안에 어떤 세부 구성요소들이 있는지 알려달라는 거다.

- 자동차를 사게 되면, 그 안에 엔진은 무엇이 들어가는지, 변속이는 어떤건지, 브레이크는 어떤 회사의 어떤 제품인지 등등

- 미국에서는 행정명령으로 연방정부와 계약 시, 필수적으로 SBOM을 요구하고 있음

- 국내에서는 관련사항은 표준화 및 규정화 하기 위해 다양한 기관에서 노력 중임.

<참고자료>

- 오픈소스 소프트웨어 통합지원센터 (https://www.oss.kr/)

: 컨퍼런스에서 발표해주신 분도 이 센터 소속이셨다

- 소프트웨어정책연구소 (https://spri.kr/)

: 주요국 SBOM 정책 동향 분석(https://spri.kr/posts/view/23539?code=&study_type=&board_type=)

: 미국 SBOM 정책 분석 및 시사점(https://spri.kr/posts/view/23537?code=&study_type=&board_type=)