[지디넷코리아]
“SBOM은 단순 생성에 그치지 않고 ‘생성, 보강, 증명, 공유, 검토, 관리’라는 6단계 생애주기를 거쳐야 실질적인 운영과 규제 대응의 실효성을 모두 확보할 수 있습니다. 수요 조직과 공급 조직 간 SBOM 유통 경로를 시각화하고, 신규 취약점 발생 시 SBOM을 기반으로 위협에 신속하게 대응하는 ‘SBOM 유통 플랫폼’을 구축해야 합니다.”
윤종원 스패로우 CTO는 24~25일 이틀간 서울 양재 aT센터 그랜드홀에서 열린 ‘2026년도 공급망보안 워크숍’에 연사로 나서 이 같이 밝혔다.
행사는 한국정보보호학회(KIISC) 산하 공급망보안연구회가 주최했다. 국내외 공급망 보안 정책과 최신 기술 동향, 산업별 공급망 보안 강화 사례 등을 공유하기 위해 마련됐다. 특히 과학기술정보통신부와 국가정보원이 2027년 전면 제도화를 목표로 추진 중인 SW 공급망 보안 로드맵을 소개했다. AIBOM부터 SBOM기반 공급망 보안 모델 구축 사업 성과까지 공급망 보안 전반에 관한 논의가 이뤄졌다.
25일에 열린 ‘SW 공급망 보안 솔루션’ 세션에서 윤종원 스패로우 CTO는 ‘SW 공급망 보안을 위한 SBOM 유통 플랫폼’을 주제로 발표했다. 윤 CTO는 미국 행정명령(EO 14028)과 유럽 사이버복원력법(CRA, Cyber Resilience Act) 등 글로벌 공급망 보안 규제와 시사점을 짚으며, 국내 또한 단계적으로 제도화될 공급망 보안 흐름에 발맞춰 대응 체계를 선제적으로 마련해야 한다고 제안했다.
‘SBOM 유통 플랫폼’을 활용하면 공급 조직은 생성된 SBOM을 업로드하고 디지털 서명을 추가함으로써 무결성을 보증할 수 있고, 수요 조직은 서명 검증으로 위·변조 여부를 확인할 수 있다. 또 권한 기반 접근 제어를 통해 필요한 대상에게만 SBOM을 안전하게 공유할 수 있을 뿐 아니라, 주고받은 이력을 체계적으로 관리하고 구성 요소에서 발생한 새로운 취약점을 상시 모니터링해 선제적 대응이 가능하다.
스패로우 장일수 대표는 “신뢰할 수 있는 SW 공급망 보안 체계 구축을 위해서는 SBOM 생성 이후의 안전한 유통과 지속가능한 운영이 무엇보다 중요하다”며 “스패로우는 취약점 점검을 넘어 SBOM을 기반으로 공급망 전반의 가시성을 확보하고 위협을 관리할 수 있는 최적의 환경을 제공, 조직이 규제 준수를 넘어 실질적인 공급망 보안 체계를 갖출 수 있게 지원하겠다”고 밝혔다.
한편 스패로우는 국내 애플리케이션 보안 테스팅 부문 공공 시장 점유율 1위 기업이다. 소프트웨어 개발 주기의 모든 단계에서 보안 취약점과 품질 이슈를 검출하고 보안 테스트 자동화를 통해 데브섹옵스(DevSecOps)를 구현하게 지원한다.