SBOM: 여러분의 소프트웨어 구성요소 목록에는 무엇이 있나요?

SBOM: 여러분의 소프트웨어 구성요소 목록에는 무엇이 있나요?

한 애플리케이션에는 평균 500개의 구성 요소가 있기 때문에 소프트웨어 안에 무엇이 있는지는 알기가 힘듭니다. 이 부분에서 올바른 보안 도구와 전문 지식이 도움이 될 것입니다.

SBOM(software Bill of Materials)은 소프트웨어 애플리케이션을 구성하는 항목의 인벤토리입니다. 즉, 애플리케이션에 들어있는 모든 것의 “구성 요소 목록” 입니다.​ 오늘날 기업들은 SBOM 정보에 대한 접근성을 제공해야 한다는 압박을 받고 있으며, 이는 소프트웨어에 문제가 발생했을 때의 책임 소재에 있어서 중요한 부분입니다.

음식으로 비유해보면 적절합니다. 초코칩 쿠키의 성분표에서는 밀가루, 설탕, 버터, 초코칩, 달걀, 바닐라, 베이킹소다, 소금 등을 찾아볼 수 있습니다. 하지만 그 쿠키 안에는 설탕, 초콜릿, 코코아 버터, 무지방 우유, 유지방 및 대두 레시틴 등 하위 목록의 성분들이 들어있습니다.

만약 이 쿠키에 오염된 코코아 버터가 들어 있어서 해당 코코아 버터가 포함된 모든 제품에 리콜을 실시해야 한다면 어떨까요? 누가 책임을 져야할까요? 이러한 쿠키를 먹지 않도록 고객을 보호하려면 어떤 조치를 취해야 할까요? 쿠키 회사는 자사의 재료뿐 아니라 공급 업체가 사용하는 재료도 알고 있어야 합니다.

초코칩 쿠키 제조업체가 쿠키 성분에 책임이 있는 것처럼 소프트웨어 제조업체는 자사를 보호하고 궁극적으로는 최종 사용자가 “나쁜 쿠키를 먹지” 않도록(즉, 보안 취약점 또는 소프트웨어 라이선스로 인해 문제가 발생할 수 있는 구성 요소를 사용하지 않도록) 보호하기 위해 소프트웨어 응용 프로그램 내 구성 요소에 대해 알아야 합니다.

​

SBOM으로 이해하는 소프트웨어 구성요소 목록

2021년 5월 12일, 국가 사이버 보안 향상에 관한 바이든 대통령의 행정 명령 14028이 발행되었습니다. 이 행정명령을 통해 SBOM은 소프트웨어 조달에 있어 매우 중요해졌습니다.. 행정 명령 14028을 통해 미 정부에 소프트웨어를 판매하려는 모든 기업에 SBOM이 의무화될 것이며 이는 상업 부문에도 영향을 미칠 것입니다.

SBOM은 동적 문서이며 공급 업체는 SBOM을 최신 상태로 유지해야 합니다.​ 새로운 소프트웨어 취약점이 확인될 때마다 소프트웨어 공급 업체는 “무엇을 알고 계셨습니까? 언제 알게 되었나요? 어떻게 해결하실 건가요?”라는 질문을 받게 될 것입니다. Equifax의 CEO는 패치되지 않은 오픈 소스 구성 요소의 취약점을 악용한 유명한 데이터 유출 사건 이후 의회에서 정확히 이 질문들에 답변을 요구 받았습니다.

SBOM 해결해야할 난제들

보통의 새로운 프로세스와 마찬가지로 SBOM에도 난제들이 존재합니다. 그 중 한 가지는 소프트웨어 애플리케이션 변수의 개수입니다. 또 다른 난제로는 SBOM이 구성 요소를 식별해야 하며 각 식별에 대해 표준 명명법을 사용해야 한다는 것이 있습니다.​ 커뮤니티와 생태계는 글로벌 공급망에 대한 위험 완화를 위해 표준, 프로세스, 교육, 도구와 관련해 협업해야 합니다.

다행히 우리에게는 이미 공급망 전반에 걸쳐 더 강력한 소프트웨어 보안 구현을 가능하게 하는 SBOM 표준과 도구를 가지고 있습니다. Software Package Data Exchange, SPDX 및 사이클론DX (CycloneDX)와 같은 표준 SBOM 포맷은 기업들이 정보를 보다 쉽게 교환할 수 있도록 지원해주며, 그 결과 공급망 전반에 걸쳐 소프트웨어의 생성, 배포, 소비 방식에 대해 신뢰와 투명성이 구축됩니다.

지난해 SPDX는 보안을 위한 국제 공개 표준 ISO/IEC JTC1 5962:2021에 명시된 SBOM의 표준 포맷 중 하나로 포함되었습니다. SPDX는 이미 일부 세계 최대 상업용 공급망에서 소프트웨어 보안 및 무결성에 중요한 역할을 하고 있습니다. 히타치(Hitachi), 삼성(Samsung), 마이크로소프트(Microsoft), 인텔(Intel), 시스코(Cisco), 지멘스(Siemens), 구글(Google) 등의 기업은 이미 몇해 째 SPDX SBOM을 생산 및 소비하고 있습니다.

하지만 SBOM 시장은 아직 다듬어야 할 부분이 많습니다. 표준은 기업의 정보 교환을 도와주지만, 해당 데이터를 사용, 추적하는 방법은 여전히 해결해야할 과제입니다. SBOM의 완전성과 정확성 문제도 해결되어야 합니다. 초코칩 쿠키에 비유하자면 SBOM에는 코코아 버터가 필요합니다. 그렇지 않으면 문제가 발생할 것입니다.

신뢰할 수 있는 보안 도구와 전문 지식

최신 오픈 소스 보안 및 위험 분석(Open Source Security and Risk Analysis, OSSRA) 보고서에 대한 연구를 수행하면서 평균적으로 애플리케이션에는 약 500개의 소프트웨어 구성 요소가 포함된다는 사실을 발견했습니다. 애플리케이션의 모든 구성 요소를 추적해야 하는 복잡성으로 인해 자동화된 소프트웨어 구성 분석(SCA) 도구가 필요합니다. 시놉시스의 Black Duck® SCA를 사용하면 사용자가 SPDX 및 CycloneDX 등의 포맷으로 SBOM을 빠르게 구축하고 내보낼 수 있기 때문에 소프트웨어 공급망 보호가 더욱 쉬워집니다.​

SBOM 구축이 처음이고 내부적으로 생성하려 하는 경우, 인벤토리에 포함할 애플리케이션을 결정하는 것과 관련해 SBOM 전문가의 지침이 필요할 수 있습니다. 시놉시스의 SCA 도구와 SBOM 생성 서비스는 20년 간 시장을 선도해 왔습니다. 시놉시스의 전문가들은 귀사가 생산하거나 업체에게서 공급받는 SBOM의 완전성과 정확성에 대한 신뢰 구축 관련 지침을 제공해드립니다. 이를 통해 귀사의 소프트웨어에 문제가 발생해도 보호받을 수 있다는 사실을 알려드릴 수 있습니다.

Black Duck 더 알아보기 CLICK!!!

​

원문 게시일: 2022.12.09

원문 기고자: Julie Courtnay

출처: https://www.synopsys.com/blogs/software-security/sbom-your-software-ingredients-list.html