[보안칼럼]SBOM 제도화, 투명한 공급망이 신뢰를 만든다

지난 10월 범정부 정보보호 종합대책을 통해 소프트웨어 자재명세서(SBOM) 제도화가 국내에서도 본격화되고 있다. 이는 소프트웨어(SW) 공급망의 투명성을 강화하고, 취약점을 체계적으로 관리하기 위한 세계적 흐름에 부합한다. 미국 식품의약국(FDA)과 유럽연합(EU)의 사이버복원력법(CRA) 등이 SBOM 제출을 의무화한 만큼, 우리도 이에 상응하는 정책적 대응은 필수다. 다만 SBOM은 단순한 기술 도입이 아니라, 디지털 보안의 신뢰 인프라를 구축하는 제도적 전환점이다.

디지털 제품과 서비스의 대부분은 오픈소스와 외부 모듈을 조합해 만든다. 특정 구성요소의 취약점은 단일 기업의 문제가 아니라 전체 공급망으로 빠르게 확산될 수 있다. SBOM은 이런 위험을 예방하는 가장 기초적 도구로, SW에 어떤 코드가 포함되어 있고 어떤 버전이 사용되는지를 명확히 보여준다. 이를 통해 취약점을 추적하고, 위험이 전이되는 경로를 차단할 수 있다.

정부가 추진하는 SBOM 제도는 결국 '보안 가시성'을 확보하기 위한 정책이다. 강제 규제라는 인식보다는, 산업 전체의 신뢰를 높이는 구조적 안전장치로 이해할 필요가 있다. 국가 차원의 SBOM 표준화는 기업 간 정보 공유의 신뢰도를 높이고, 디지털 제품의 안전성을 객관적으로 보증하게 될 것이다.

일각에선 SBOM 공개로 인해 기업의 지식재산이나 기술 부채가 외부에 드러날 우려를 제기한다. 그러나 SBOM은 투명성과 보안을 동시에 지키는 균형이 중요하다. 공개용 SBOM엔 오픈소스와 외부 라이브러리 사용 정보 등 핵심 항목만 포함하고, 세부 정보는 내부 관리용으로 구성하는 것이 글로벌 모범 사례로 자리 잡고 있다.

일례로 정보기술 자산관리(ITAM)가 '무엇을 가지고 있는가'를 관리한다면, SBOM은 '그 안에 무엇이 들어 있는가'를 관리한다. 즉, ITAM이 건물의 외관이라면, SBOM은 세부 설계도다. 단순히 '서버 10대가 있다'는 수준에서 그치지 않고, '그 중 3대가 특정 오픈소스를 사용하며 보안 취약점(CVE·KEV)에 노출돼 있다'는 구체적인 공격표면 관리가 가능해진다.

주의할 점은 SBOM 생성 자체가 목적이 돼선 안 된다. 도구를 구매해 형식을 갖추는 것이 아닌, 취약점 식별·모니터링·패치까지 이어지는 실질적 관리 체계로 발전해야 한다. SBOM 보안은 '파일'이 아니라 '프로세스'이며, 관리 주체는 최고정보책임자(CIO)의 자산통합 관점과 최고정보보호책임자(CISO)의 보안관리가 함께 맞물려야 한다. 규모가 작은 중소기업도 오픈소스 기반 도구를 활용해 비용 부담 없이 관리 체계를 만들 수 있다.

SBOM이 SW 내부 구성요소의 투명성을 확보하는 기술이라면, 이를 인공지능(AI) 영역으로 확장한 AIBOM도 새롭게 주목받고 있다. AI 서비스가 확산되면서 AI 모델의 신뢰성과 투명성 역시 공급망 보안의 일부로 인식되고 있기 때문이다.

다만, 공급망 보안은 어느 한 조직의 책임으로 해결되지 않는다. 각 기업과 기관이 역할을 분담하고, 투명한 정보 공유를 기반으로 상호 검증 체계를 구축해야 한다. 정부는 이를 위한 표준 프레임과 인증 체계를 지원하고, 민간은 자율적 관리 역량을 강화해야 한다. 동시에 실패를 용인하고 학습하는 사회적 문화가 뿌리내릴 때, SBOM은 단순한 제도를 넘어 신뢰의 언어로 기능하게 될 것이다.

종합하면 SBOM 보안은 활용에 따라 규제 이전에 '공동의 보호 장치'가 되는 것이다. 우리 산업이 글로벌 공급망의 신뢰 경쟁에서 우위를 점하기 위해선 지금 이 제도화의 시기를 투명성과 협력의 기회로 삼아야 한다. SBOM은 단순한 선택이 아니라 디지털 시대의 생존 전략이다.

최윤성 고려대 SW·AI융합대학원 교수·美오픈소스보안재단 SBOM 워킹그룹 회원 yunseong@korea.ac.kr