소프트웨어 부품명세서(SBOM)로 사이버 보안 강화

[보안뉴스 이소미 기자] 소프트웨어 검증 전문기업 코드마인드(대표 김은중, 신승철)가 오픈소스 관리 도구 ‘해터 SCA(Hatter Software Composition Analysis)’를 출시했다고 25일 밝혔다.

해터 SCA는 개발한 소프트웨어의 구성요소를 식별하고 소스코드와 바이너리 파일에 포함된 오픈소스 소프트웨어를 파악해 오픈소스의 보안취약점을 검출하고 관련 라이선스 정보를 함께 제공해 사용자가 라이선스 정책 위반 여부를 쉽게 확인할 수 있도록 도와준다. 그리고 식별·검출한 모든 정보를 SBOM(Software Bill of Materials, 소프트웨어 부품명세서)과 함께 상세히 제공해 오픈소스SW 공급망을 강화하고 오픈소스 사용에 따른 리스크를 안전하게 관리할 수 있도록 도와주는 관리 도구다.

정보통신산업진흥원이 발간한 ‘2021 오픈소스SW(OSS) 실태조사 보고서’에 따르면 오픈소스를 활용한 소프트웨어 개발이 보편화되면서 개발 과정에서 오픈소스를 사용하는 비율이 60% 이상이다. 오픈소스를 사용하면 개발에 소요되는 시간과 비용을 줄일 수 있기 때문이다. 하지만 오픈소스는 상용 소프트웨어와 달리 공개된 소스코드 기반으로 취약점 역시 노출될 가능성이 있다. 그리고 라이선스 관리를 꾸준하게 주기적으로 하지 않으면 오픈소스 라이선스 위반으로 인한 법적 분쟁 발생 가능성도 있다. 이러한 점을 감안하면 오프소스 활용에 따른 보안 위협과 라이선스 위반과 같은 리스크를 줄여줄 수 있는 솔루션 도입이 필요하다.

해터SCA는 이러한 문제를 사전에 방지하고 대응할 수 있도록 도와주는 오픈소스 관리 도구다. 오픈소스를 사용하는 기업이나 기관의 입장에서는 현재 사용 중인 오픈소스를 보다 안전하고 효율적으로 관리하는 유용한 도구인 셈이다.

2020년 이후 ‘아파치 로그포제이(Apache Log4j)’와 같은 각종 대규모 사이버 위협이 심심치 않게 발생하고 있다. 사이버 위협이 야기하는 피해가 무시할 수 없는 중대한 사안인 만큼, 이에 미 바이든 행정부는 2021년 발표한 행정명령에 따라 소프트웨어 부품명세서(SBOM) 제출을 의무화했다. 이에 따라 국내에서도 SBOM을 요구하는 기업과 기관이 늘어나는 추세다.

신승철 코드마인드 대표는 “소스코드 및 바이너리 분석 기술을 활용하여 개발된 해터SCA가 앞으로 오픈소스 보안 위협을 방지하고 국내 사이버보안 역량을 강화하는데 큰 도움이 될 것”이라고 말했다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>