[지디넷코리아]
한국정보보호산업협회(KISIA)는 고려대학교 컨소시엄과 ‘2025 국내·외 SW공급망보안 현황 및 SBOM(소프트웨어 자재 명세서) 도구 실증 결과보고서’를 발간했다고 19일 밝혔다. 해당 보고서는 과학기술정보통신부(과기정통부)와 정보통신기획평가원(IITP)의 지원을 통해 진행된 사업 결과다.
보고서에는 전 세계적으로 사이버보안의 핵심 축으로 자리 잡은 SW 공급망보안의 최신 동향을 분석하고, R&D연구로 개발된 IoTcube 2.0(HatBOM)을 활용해 실제 기업 솔루션에 적용한 실증 결과를 담고 있다.
특히 이번 4차년도 실증은 기존 정보보호 산업을 넘어 의료기기 제조 분야까지 범위를 확대함과 동시에 취약점이 솔루션에 영향을 미치는지 여부를 확인하는 VEX문서 발행 기능을 함께 실증한 것이 특징이다.
실증은 먼저 정보보호기업 2개사 및 의료기기 제조업체 1개사를 대상으로 실증 참여 기업을 구성해 진행됐다. SBOM 도구를 활용해 각 기업 솔루션의 구성요소를 식별하고 취약점을 분석하는 1차 실증을 거쳤으며, 도출된 미비점을 보완해 2차 실증을 진행해 최종 성과를 도출했다.
참여 기업들은 단순한 자산 식별을 넘어 ‘SBOM에 기반한 SW 공급망 보안 관리체계’의 수립 토대를 마련했다는 평가를 내놓고 있다. 의료기기 제조사의 경우 미국 FDA 등 글로벌 규제 기관의 SBOM 제출 의무화 대비도 가능했다.
KISIA는 고려대학교 소프트웨어보안연구소(CSSA, 소장 이희조), 강원대학교(총장 정재연) 산학협력단, 한국과학기술원(KAIST, 총장 이광형)과 함께 과학기술정보통신부 및 정보통신기획평가원이 지원하는 ‘SW 공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발’ 과제에 공동 연구기관으로 선정돼 2022년부터 해당 연구를 수행했다.