[아이티데일리] 미국 사이버보안 및 인프라 보안국(CISA)이 2025년도 SBOM(소프트웨어 자재명세서)* 최소 요구사항 초안(2025 Minimum Elements for a Software Bill of Materials)을 지난달 21일 공개했다. 해당 초안은 2021년 미국통신정보관리청(NTIA)이 발표한 SBOM 최소 요구사항을 CISA가 가다듬어 4년 만에 처음으로 발표한 것으로, SBOM의 실용성을 높이는 데 중점을 둔 것으로 평가된다. 하지만 장기간의 노력에도 불구하고 실무진들은 여전히 원하는 구체적 지침 수준에는 미치지 못한다는 지적을 하고 있다.

CISA의 이번 2025년도 SBOM 최소 요구사항에서 가장 눈에 띄는 변화는 암호화 해시값을 반드시 포함하도록 규정한 점이다. 이는 SBOM이 생성된 후 소프트웨어 구성요소가 변조됐는지를 확인할 수 있게 해주는 핵심 보안 기능이다.

이와 함께 초안은 소프트웨어가 변증됐는지를 검증할 수 있도록 △구성요소 해시값 △라이선스 정보 △SBOM 생성도구 이름 △타임스탬프와 추가 식별자 등에 대한 정보를 반드시 요구하도록 했다. 또 기계 판독이 가능한(Machine Readable) 형태로 SBOM을 작성할 수 있는 SPDX, 사이클론DX(CycloneDX) 등과 같은 표준 포맷을 의무화함으로써 자동화 도입의 기반도 마련했다.

CISA 사이버보안 담당인 크리스 부테라(Chris Butera) 수석 부국장은 “SBOM은 소프트웨어 제조업체가 공급망 위험을 해결하는 데 도움이 되는 귀중한 도구”라며 “최근 몇 년간 여러 모범 사례가 크게 발전했다”고 밝혔다. CISA 측은 “실제 지난 4년간 SBOM 도구가 발전하고 기업들이 채택을 늘리면서 이전보다 훨씬 풍부한 정보를 요구할 수 있는 환경이 조성됐다”고 평가한다.

다만 일부 보안 업계 관계자들은 이번 SBOM 최소 요구사항 초안 역시 실무에 적용하기에는 여전히 미흡하다는 평가를 내놓고 있다. 먼저 표준화 측면에서의 문제다. 아직까지 조직마다 SBOM을 작성하는 방식이 달라 공유나 협업이 어려운 상황이기 때문이다. 또한 SBOM을 작성해 보유하고 있더라도, 실제 위협을 잡아내거나 취약점 관리까지 연계해 활용하는 경우가 적다는 한계도 지적된다.

뿐만 아니라 많은 조직이 보안 담당 인력을 충분히 보유하지 못하고 있는 현실에서, SBOM 확인이 체크박스에 표기만 하고 넘어가는 또 다른 형식상 업무가 될 수 있다는 우려도 나온다. 특히 보안 팀의 역량이 부족할 경우, 단순히 해시와 라이선스 정보만 나열된 SBOM을 보고 무엇부터 해야할지 모르는 상황이 발생할 수도 있다.

이 같은 이유에서 보안 실무자들은 구체적 실행에 대한 내용을 담은 상세 가이드가 필요하다고 말한다. 이들은 “SBOM을 작성하고 활용하라는 단순한 지침에서 벗어나 △산업별 맞춤형 가이드라인 제시 △SBOM 활용 플레이북 도출 △신뢰 모델과 공유 모델 정의 △SaaS 및 AI 환경까지 포함하는 가이드라인 제시 △SBOM 검증을 돕는 도구(tool) 지원 등과 같은 구체적 뒷받침이 필요하다”는 의견을 내고 있다.

CISA는 오는 10월 3일까지 이번 초안에 대한 공개 의견수렴을 진행한다. 전 세계 보안 업계는 이 기간 실무진들의 현실적인 의견이 적극 반영되기를 기대하고 있다. 

한 국내 보안 기업 관계자는 “국내에서 SBOM은 아직 일부 금융권 정도에서 관심을 갖고 솔루션 도입을 검토하는 수준이다. 과학기술정보통신부와 한국인터넷진흥원(KISA) 등도 관심을 갖고 가이드라인과 구축 지원사업을 하고는 있으나, 아직 걸음마 단계다. 특히 SBOM은 아직까지 단순 규제 추가 정도로 인식되는 경향이 있다”고 분위기를 전하면서 “국내도 가이드라인 1.0이 나왔지만, 미국과 마찬가지로 앞으로 SBOM이 정착되려면 실무자들이 당장 활용할 수 있는 도구와 플레이북, 자동화 체계를 정의한 구체적 사례와 가이드라인이 필요하다. 장기적으로 SBOM은 단순한 체크리스트에서 끝나는 것이 아니라, 위협 인텔리전스와 연동돼 취약점 관리를 자동으로 할 수 있는 수준까지 발전해야 한다”고 덧붙였다.