한국인터넷진흥원이 주최하고 한국정보보호학회가 주관한 제31회 정보통신망 정보보호 컨퍼런스 NetSec-KR 2025에서 이희조 고려대학교 교수는 ‘소프트웨어 공급망 보안을 위한 SBOM 생성 및 VEX 검증 자동화 기술’을 주제로 강연을 진행했다.
이 교수는 오픈소스 사용이 급격히 증가한 현 소프트웨어 생태계에서, SBOM과 VEX의 통합적 활용이 반드시 필요하다고 강조했다.
그는 "최근 소프트웨어는 개발자의 직접 작성 코드보다 외부에서 가져온 라이브러리나 패키지로 구성된 부분이 훨씬 많다"고 지적하며, “이는 코드 품질 및 보안성에 대한 통제가 어려운 구조”라고 설명했다. 실제로 대다수 기업들은 전체 코드 중 90% 이상을 외부 소스에 의존하고 있으며, 이로 인해 취약점이 포함된 라이브러리가 악용될 경우 전사적 피해로 확산될 수 있다.
◆SBOM, 소프트웨어 보안의 출발점
SBOM(Software Bill of Materials)은 소프트웨어에 포함된 오픈소스, 상용 모듈 등 구성요소를 명확히 기록한 문서로, 어떤 구성요소가 어디에 포함되어 있는지를 추적 가능하게 만든다. 이 교수는 “SBOM은 소프트웨어 보안의 출발점으로, 소프트웨어 자산의 구조를 투명하게 만드는 동시에, 취약점 발생 시 영향 범위를 빠르게 파악할 수 있는 핵심 도구”라고 강조했다.
SBOM을 통해 취약점 탐지, 라이선스 위반 여부 확인, 패치 우선순위 선정 등의 분석이 가능해지며, 미국 정부도 이를 공공조달 소프트웨어에 의무화하고 있다.
◆VEX, SBOM만으로 부족한 부분 보완
하지만 SBOM만으로는 모든 취약점 대응이 어려운 한계가 있다. 이 교수는 “SBOM 분석을 통해 많은 취약점이 탐지되지만, 실제로는 많은 수가 비실행 코드거나, 영향이 없는 구성요소에 해당해 실제 위협으로 이어지지 않는 경우가 많다”며, 이로 인해 조직은 불필요한 패치 작업과 리스크 대응에 자원을 낭비하게 된다고 설명했다.
이때 중요한 역할을 하는 것이 바로 VEX(Vulnerability Exploitability eXchange)다. VEX는 특정 취약점에 대해 해당 시스템이나 제품이 실제로 영향을 받는지, 익스플로잇 가능성이 있는지를 기술한 보완 문서다.
이 교수는 “SBOM이 ‘어디에 어떤 코드가 있는지’ 보여준다면, VEX는 ‘그 코드가 실제로 문제를 일으킬 수 있는지’를 판단하게 해준다”고 설명하며, “VEX가 함께 적용될 때, SBOM의 정확도와 효율성이 대폭 향상된다”고 말했다.
◆IoTcube HATBOM, SBOM과 VEX를 자동 분석하는 도구
이에 이 교수는 IoTcube가 개발한 SBOM 자동 분석 시스템 ‘HATBOM’을 소개했다. 이 도구는 SPDX, CycloneDX 등 표준 포맷의 SBOM을 업로드하면, 해당 구성요소들의 보안 취약점(CVE), 패치 정보, 라이선스 리스크, 영향도 분석 결과를 자동 도출한다. 또한 VEX를 함께 적용할 수 있는 구조를 갖추고 있어, 실제 영향을 주는 취약점과 그렇지 않은 취약점을 구분하는 데 유용하다고 설명했다.
그는 “보안팀 입장에서 가장 중요한 것은 수많은 취약점 중에서 실제로 조치해야 할 대상이 무엇인지 정확히 선별하는 것이다. HATBOM은 이 과정을 자동화하고 시각적으로 제공해준다”고 덧붙였다.
HATBOM은 웹 기반으로 제공되며, ‘이곳’에서 활용할 수 있다.
이 교수는 실무 적용 사례도 함께 공유했다. 예를 들어 어떤 소프트웨어에 로그4j 취약점이 포함돼 있다고 하더라도, 해당 코드가 비활성화되어 있거나, 네트워크에 노출되지 않는 구성이라면 실제 익스플로잇 가능성은 매우 낮다. 이처럼 SBOM으로 구성요소를 확인하고, VEX로 영향도를 판단함으로써 불필요한 보안 경보에 따른 업무 과부하를 줄일 수 있다.
그는 “SBOM과 VEX는 함께 작동할 때 공급망 보안의 현실적인 대안을 제공하며, 기업의 보안 대응 효율성을 크게 높여준다”고 강조했다.
IoTcube HATBOM 플랫폼은 국내외 다양한 실무 환경에서 소프트웨어 공급망 보안을 위한 SBOM 자동 분석 및 활용 사례로 도입되고 있다. 특히, 오픈소스 기반 제품 개발이 보편화된 현업에서 보안 취약점 탐지, 영향도 분석, 대응 우선순위 도출에 있어 실질적인 효과를 입증하고 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[NetSec-KR 2025] “공공기관, 윈도우·리눅스 EOS 대응 시급...해킹 위협 증가”](https://www.dailysecu.com/news/photo/202504/165540_193965_5725.jpg)
![[NetSec-KR 2025] 서정택 교수 “SMR 시대, 설계부터 ‘보안내재화’ 고려해야”](https://www.dailysecu.com/news/photo/202504/165511_193935_266.jpg)
![[기고] 변호사 생존 전략, 'AI 프롬프트 디자인'에서 시작된다](https://img.etnews.com/news/article/2025/04/23/news-p.v1.20250423.263386525c844211a49738de733b6fb9_P3.jpg)
![[디지털문서 인사이트] 중앙 집중형 시스템에서 탈중앙화 방식의 다계층 인증 체계 도입의 필요성](https://img.etnews.com/news/article/2025/04/19/news-p.v1.20250419.413e11f61c334dafa319469002b61534_P3.jpg)
