2021.07.29

낱낱이 SW 요소 공개하라··· 美 정부의 'SBOM 의무화'가 미칠 영향

Jon Gold | Network World
바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 수 있게 될 전망이다. 

SBOM은 소프트웨어 재료명세서(BOM ; Bill of Material)의 약칭이다. BOM은 제조 부문에서 유래된 개념으로, 특정 장치의 제작에 사용된 구성요소와 재료를 낱낱이 파악하는 데 중요한 역할을 한다. 
 
ⓒGetty Images Bank

가령, 기차의 엔진에 사용된 부품이 일정 수준의 진동에 적합한 등급을 못한 경우, 특정 선로를 달리기가 부적합할 수 있다. BOM은 이 같은 상황에서 진가를 발휘하며 SBOM 또한 마찬가지다. SBOM을 통해 특정 소프트웨어에 사용된 전용, 오픈소스 그리고 라이선스 요소에 만료되거나 불안정한 요소가 없는지 검토할 수 있다. 

IDC의 리서치 디렉터 짐 머서는 "SBOM 같은 명세서는 '현재적인 요소'뿐만 아니라 '미래적인 요소'도 보여준다는 장점이 있다”라며 “SBOM을 통해 (소프트웨어의) 현재 구성요소를 파악할 수 있는 것은 물론, 각종 리스크를 피할 수 있다. 가령, 해묵은 오픈소스 소프트웨어를 사용 중인지 여부를 알 수 있다”라고 말했다. 

표준 SBOM 포맷이 등장하면 일부  분야(네트워킹 등)에서 특히 유용할 수 있다. 기존의 지적 자산을 많이 활용하는 여러 스택이 얽혀 있는  영역이다. 최근 일어난 몇몇 악명 높은 보안 침해 사건들은 리플20(Ripple20)과 하트블리드(Heartbleed) 등 흔히 사용되는 소프트웨어 구성요소의 보안 결함에서 비롯됐다. 

451 리서치의 정보보안 리서치 디렉터인 스콧 크로포드는 SPDX, 사이클론DX(CycloneDX) 및 SWID태그(SWIDtags) 등 일부 표준 데이터 포맷들이 SBOM과 같은 형식으로 정보를 표시한다고 전했다. 다만 각 포맷의 역할과 목적은 조금씩 다르다는 설명이다. 

예를 들어, SPDX는 리눅스 재단의 작업 그룹이 관리하는 범용 SBOM 포맷이며, 사이클론DX는 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP)가 개발한 것이다. 후자의 경우 대체로 애플리케이션의 보안 이슈에 초점을 맞추고 있다.

크로포드는 바이든 행정부가 해결하고자 하는 문제 중 하나가 바로 이 같은 SBOM 포맷의 상이함이라고 전했다.

그는 "'알고 있지만 확실치 않은 것'(known unknown)이 식별될 수 있도록 SBOM에 분명하게 표시할 것을 바이든 행정부가 명령했다”라며 "이론적으로는 이를 통해 조립형 소프트웨어의 전체 구성요소를 추적할 수 있다. 하지만 현실적으로 일부 종속성은 식별하기가 어려울 것이다. 충분히 가시화하기 힘든 바이너리가 있을 수 있다"라고 말했다. 

보안 업계 일각에서는 새 포맷을 만드는 대신 SPDX를 기성 표준으로 간주하자는 입장이다. 리눅스 재단은 이런 견해를 환영한다. 가트너의 수석 리서치 디렉터인 데일 가드너는 리눅스 재단 외에도 SPDX를 받아들인 기관이 많다고 설명했다. 단 미 국립표준기술원(NST)은 다소 다른 입장이다.

가드너는 "NIST가 다른 표준을 내놓을지 여부는 지켜봐야겠지만, SPDX가 NIST에 일부 영향을 주고 있는 것 같은 생각이 든다"라고 말했다. 

바이든 행정부가 어떤 표준 SBOM을 제정하든지, 업계 전반은 이를 준수할 가능성이 높다. 물론 업계 차원에서 새 표준을 준수하는 데 번거로움이 없지는 않다. 소프트웨어를 체계적으로 감사하고 문서화하는 데 비용이 들기 때문이다. 하지만 가드너는 SBOM의 광범위한 채택이 시급하다고 주장했다. 

그는 “어쨌든 기업은 현재 정부가 권고하는 수많은 사항을 따라야 한다”라며 "소프트웨어 구성요소를 명확하게 밝힘으로써 안전하게 사업을 운영하라는 것이 정부의 요구사항”이라고 말했다.  

SBOM 표준이 등장하고 이의 채택이 일상화될 경우 벤더에게 얼마나 와해적인 영향이 가해질지는 벤더 각각의 상황에 따라 다르다. 포레스터의 수석 애널리스트인 샌디 카리엘리에 따르면, 일각에서는 자체적인 SBOM과 같은 것을 만들어 이용하고 있다. 

그는 "완숙한 프로세스를 갖춘 업체는 SBOM을 채택하는 것이 크게 어렵지 않을 것”이라며 “(하지만) 개발 주기에 관련 도구를 통합하지 않은 조직의 경우, SBOM을 안정적이고, 또 자동적으로 생성할 수 있는 지점을 파악하는 것이 좀더 어려울 수 있다”라고 말했다. 

물론 SBOM만으로 모든 보안 문제를 해결할 수는 없다. 그럼에도 잠재적인 보안 위협을 인지하고 벤더에 대한 (고객의) 기대치를 긍정적인 방향으로 바꿀 수 있다는 점은 유효하다.

머서는 "(이번 정책으로 인해) 클라우드 벤더들이 자사 서비스의 안정성을 강화해야 한다는 압박을 느낄 것"이라며 "SBOM을 사용하는 사람이 더 많아질수록 더 좋은 결과가 도출될 수 있다”라고 말했다. ciokr@idg.co.kr
 



2021.07.29

낱낱이 SW 요소 공개하라··· 美 정부의 'SBOM 의무화'가 미칠 영향

Jon Gold | Network World
바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 수 있게 될 전망이다. 

SBOM은 소프트웨어 재료명세서(BOM ; Bill of Material)의 약칭이다. BOM은 제조 부문에서 유래된 개념으로, 특정 장치의 제작에 사용된 구성요소와 재료를 낱낱이 파악하는 데 중요한 역할을 한다. 
 
ⓒGetty Images Bank

가령, 기차의 엔진에 사용된 부품이 일정 수준의 진동에 적합한 등급을 못한 경우, 특정 선로를 달리기가 부적합할 수 있다. BOM은 이 같은 상황에서 진가를 발휘하며 SBOM 또한 마찬가지다. SBOM을 통해 특정 소프트웨어에 사용된 전용, 오픈소스 그리고 라이선스 요소에 만료되거나 불안정한 요소가 없는지 검토할 수 있다. 

IDC의 리서치 디렉터 짐 머서는 "SBOM 같은 명세서는 '현재적인 요소'뿐만 아니라 '미래적인 요소'도 보여준다는 장점이 있다”라며 “SBOM을 통해 (소프트웨어의) 현재 구성요소를 파악할 수 있는 것은 물론, 각종 리스크를 피할 수 있다. 가령, 해묵은 오픈소스 소프트웨어를 사용 중인지 여부를 알 수 있다”라고 말했다. 

표준 SBOM 포맷이 등장하면 일부  분야(네트워킹 등)에서 특히 유용할 수 있다. 기존의 지적 자산을 많이 활용하는 여러 스택이 얽혀 있는  영역이다. 최근 일어난 몇몇 악명 높은 보안 침해 사건들은 리플20(Ripple20)과 하트블리드(Heartbleed) 등 흔히 사용되는 소프트웨어 구성요소의 보안 결함에서 비롯됐다. 

451 리서치의 정보보안 리서치 디렉터인 스콧 크로포드는 SPDX, 사이클론DX(CycloneDX) 및 SWID태그(SWIDtags) 등 일부 표준 데이터 포맷들이 SBOM과 같은 형식으로 정보를 표시한다고 전했다. 다만 각 포맷의 역할과 목적은 조금씩 다르다는 설명이다. 

예를 들어, SPDX는 리눅스 재단의 작업 그룹이 관리하는 범용 SBOM 포맷이며, 사이클론DX는 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP)가 개발한 것이다. 후자의 경우 대체로 애플리케이션의 보안 이슈에 초점을 맞추고 있다.

크로포드는 바이든 행정부가 해결하고자 하는 문제 중 하나가 바로 이 같은 SBOM 포맷의 상이함이라고 전했다.

그는 "'알고 있지만 확실치 않은 것'(known unknown)이 식별될 수 있도록 SBOM에 분명하게 표시할 것을 바이든 행정부가 명령했다”라며 "이론적으로는 이를 통해 조립형 소프트웨어의 전체 구성요소를 추적할 수 있다. 하지만 현실적으로 일부 종속성은 식별하기가 어려울 것이다. 충분히 가시화하기 힘든 바이너리가 있을 수 있다"라고 말했다. 

보안 업계 일각에서는 새 포맷을 만드는 대신 SPDX를 기성 표준으로 간주하자는 입장이다. 리눅스 재단은 이런 견해를 환영한다. 가트너의 수석 리서치 디렉터인 데일 가드너는 리눅스 재단 외에도 SPDX를 받아들인 기관이 많다고 설명했다. 단 미 국립표준기술원(NST)은 다소 다른 입장이다.

가드너는 "NIST가 다른 표준을 내놓을지 여부는 지켜봐야겠지만, SPDX가 NIST에 일부 영향을 주고 있는 것 같은 생각이 든다"라고 말했다. 

바이든 행정부가 어떤 표준 SBOM을 제정하든지, 업계 전반은 이를 준수할 가능성이 높다. 물론 업계 차원에서 새 표준을 준수하는 데 번거로움이 없지는 않다. 소프트웨어를 체계적으로 감사하고 문서화하는 데 비용이 들기 때문이다. 하지만 가드너는 SBOM의 광범위한 채택이 시급하다고 주장했다. 

그는 “어쨌든 기업은 현재 정부가 권고하는 수많은 사항을 따라야 한다”라며 "소프트웨어 구성요소를 명확하게 밝힘으로써 안전하게 사업을 운영하라는 것이 정부의 요구사항”이라고 말했다.  

SBOM 표준이 등장하고 이의 채택이 일상화될 경우 벤더에게 얼마나 와해적인 영향이 가해질지는 벤더 각각의 상황에 따라 다르다. 포레스터의 수석 애널리스트인 샌디 카리엘리에 따르면, 일각에서는 자체적인 SBOM과 같은 것을 만들어 이용하고 있다. 

그는 "완숙한 프로세스를 갖춘 업체는 SBOM을 채택하는 것이 크게 어렵지 않을 것”이라며 “(하지만) 개발 주기에 관련 도구를 통합하지 않은 조직의 경우, SBOM을 안정적이고, 또 자동적으로 생성할 수 있는 지점을 파악하는 것이 좀더 어려울 수 있다”라고 말했다. 

물론 SBOM만으로 모든 보안 문제를 해결할 수는 없다. 그럼에도 잠재적인 보안 위협을 인지하고 벤더에 대한 (고객의) 기대치를 긍정적인 방향으로 바꿀 수 있다는 점은 유효하다.

머서는 "(이번 정책으로 인해) 클라우드 벤더들이 자사 서비스의 안정성을 강화해야 한다는 압박을 느낄 것"이라며 "SBOM을 사용하는 사람이 더 많아질수록 더 좋은 결과가 도출될 수 있다”라고 말했다. ciokr@idg.co.kr
 

X