[서울=뉴시스]윤정민 기자 = 스패로우가 소프트웨어 공급망 보안의 핵심으로 떠오른 소프트웨어 자재명세서(SBOM)의 운영·관리 전략을 제시했다. 내년 국내 공급망 보안 제도화가 추진되는 가운데 SBOM을 만드는 데 그치지 않고 안전하게 유통·관리하는 체계를 갖춰야 한다는 제언이다.

26일 스패로우에 따르면, 윤종원 최고기술책임자(CTO)가 전날 서울 서초구 양재 aT센터에서 열린 '2026 공급망보안 워크숍'에서 소프트웨어 공급망 보안을 위한 SBOM 운영·관리 전략을 발표했다.

이번 행사는 한국정보보호학회 공급망보안연구회가 주최했다. 과학기술정보통신부와 국가정보원이 추진 중인 소프트웨어 공급망 보안 로드맵과 AIBOM, SBOM 기반 공급망 보안 모델 구축 성과 등이 공유됐다.

윤 CTO는 미국 행정명령(EO 14028)과 유럽 사이버복원력법(CRA) 등 글로벌 공급망 보안 규제 동향을 소개하며 국내도 단계적인 제도화에 맞춘 대응 체계 마련이 필요하다고 주장했다.

SBOM은 소프트웨어를 구성하는 오픈소스와 라이브러리, 구성 요소 목록을 정리한 일종의 '소프트웨어 부품 명세서'다. 최근에는 단순히 SBOM을 생성하는 것을 넘어 공급망 전체에서 안전하게 공유하고 새 취약점이 발견될 경우 영향을 받는 시스템을 즉시 파악할 수 있는 운영 체계 구축이 중요 과제로 떠오르고 있다.

윤 CTO는 SBOM이 '생성-보강-증명-공유-검토-관리' 6단계 생애주기를 거쳐야 실질적인 규제 대응과 운영 효과를 확보할 수 있다고 설명했다.

스패로우는 이를 위한 'SBOM 유통 플랫폼'도 제안했다. 공급 조직은 생성한 SBOM을 게재하고 디지털 서명을 추가해 무결성을 보장할 수 있으며 수요 조직은 서명을 검증해 위·변조 여부를 확인할 수 있다.

또 권한 기반 접근 제어를 통해 필요한 대상에게만 SBOM을 공유하고 유통 이력을 관리하는 것은 물론 구성 요소에서 발생한 신규 취약점도 상시 모니터링해 신속하게 대응할 수 있도록 지원한다.

장일수 스패로우 대표는 "신뢰할 수 있는 소프트웨어 공급망 보안 체계를 구축하려면 SBOM 생성 이후의 안전한 유통과 지속적인 운영이 무엇보다 중요하다"며 "SBOM을 기반으로 공급망 전반의 가시성을 확보하고 위협을 관리할 수 있는 환경을 제공해 규제 준수를 넘어 실질적인 공급망 보안 체계를 구축하도록 지원하겠다"고 말했다.


◎공감언론 뉴시스 alpaca@newsis.com