KISIA, ‘SBOM 도구 실증 결과보고서’ 발간

[아이티데일리] 한국정보보호산업협회(KISIA, 회장 조영철)는 고려대학교 컨소시엄의 연구개발(R&D) 과제로 개발된 소프트웨어 자재 명세서(SBOM) 자동 생성 도구에 대한 실증결과를 담은 보고서를 발간했다고 11일 밝혔다.

이번 보고서에는 미국 정보통신국(NTIA)에서 제시한 SBOM 도구 및 명세서 기준을 바탕으로, 고려대 컨소시엄이 개발한 결과물을 실제 정보보호기업 솔루션에 적용해 실증한 결과가 담겼다.

KISIA는 실증 참여 기업 모집 후 개발된 SBOM 도구와 명세서에 대한 1차 실증을 거쳤다. 1차 실증에서 발견된 미비점을 분석·보완 후, 이를 바탕으로 2차 실증을 진행해 최종결과를 도출했다.

두 차례 실증을 통해 컨소시엄 R&D 결과물이 NTIA에서 제시한 SBOM 도구의 9가지 기능 유형을 만족하며, SBOM 명세서 역시 최소 구성 요소인 데이터 필드(Data Field) 7가지를 충족함을 확인했다.

이번 보고서에는 SBOM 도구 실증결과뿐 아니라 국내외 공급망 보안 정책 동향 및 SBOM 개념과 그 필요성에 관한 내용도 실렸다.

KISIA는 고려대 소프트웨어보안연구소(CSSA), 강원대 산학협력단, 한국과학기술원(KAIST)과 함께 과학기술정보통신부, 정보통신기획평가원이 지원하는 ‘소프트웨어 공급망 보안을 위한 SBOM 자동 생성 및 무결성 검증기술 개발’ 과제에 공동 연구 기관으로 선정돼 2022년부터 연구를 진행 중이다.

이번 보고서는 KISIA 홈페이지 내 ‘협회 공지 및 행사’ 게시판에서 확인할 수 있다.