Haedong

서울대학교공과대학

해동일본기술정보센터
모바일메뉴 열기/닫기
  • 정기간행물
  • 단행본서적
  • 기술보고서/백서
  • 커뮤니티
  • 센터소개
  • 일본 관련 사이트
    •

    전기전자/정보통신

    니케이 컴퓨터 2024/04/18(2) 오늘부터 시작하는 SBOM

    책 커버 표지
    목차

    IT가 위험하다
    데이터센터 건설 좌절, 주택 근접으로 인해 '민폐 시설'로 취급
    특집
    오늘부터 시작하는 SBOM -- 도요타와 르네사스도, 소프트웨어 가시화를 가속화하고 있는 업계
    특집
    도쿄가스, 시스템 내제의 전모 -- ‘엔지니어 제로’에서 도전
    포커스
    '소형 LLM'에 거는 국내 IT 대기업들의 승부수

    더보기+

    요약

    Nikkei Computer_2024.4.18 특집 (p10-23)

    오늘부터 시작하는 SBOM
    도요타에 르네사스도, 소프트웨어 가시화로 가속하는 세계

    소프트웨어의 구성 부품을 관리하는 방법인 ‘SBOM(Software Bill of Material, 소프트웨어 부품명세서)’. OSS(오픈 소스 소프트웨어)의 라이선스 관리와 더불어 취약성 관리에 도움이 된다고 하여 세계적으로 도입 분위기가 고조되고 있다. 유럽과 미국에서는 거래처에 SBOM 작성을 요구하는 움직임이 확대되고 있다.

    일본에서도 도요타자동차나 르네사스일렉트로닉스가 움직이기 시작했다. 거래처의 요구가 거세질 공산은 크다. 남의 일이 아니다. 하루라도 빨리 SBOM의 도입을 검토하기 위해 Flow Chart도 준비했다.

    Part 1. 도입 분위기가 고조되는 유럽과 미국
    일본 기업도 도입 불가피

    SBOM을 도입하는 분위기가 전 세계적으로 높아지고 있다. OSS 관리뿐만 아니라 취약성 관리에도 효과를 발휘할 것으로 기대된다. 그러나 도입이 진행되는 유럽과 미국에 비해 일본 기업의 대응은 뒤처지고 있다.

    “라이선스 관리나 취약성 관리는 소프트웨어의 내용을 모르면 불가능하다. SBOM 이용의 목적을 명확하게 하고, 공급망 기업에 제출을 의뢰하고 있다”. “(소프트웨어 부품 정보의) 전언(傳言) 게임을 효율적이고 정확하게 하기 위한 툴로서 SBOM이 있다”(도요타자동차의 담당자).

    SBOM에 대응하고 있는 기업은 도요타자동차만은 아니다. 르네사스일렉트로닉스와 캐논도 주력하고 있다. 캐논 그룹에서는 의료기기를 개발하는 캐논 메디컬 시스템즈도 이에 대응하고 있으며, 현재 생산하고 있는 약 2000개의 제품군에서 SBOM을 작성할 수 있는 환경을 정비했다.

    IT 업계에서는 노무라종합연구소(NRI)가 Java에 의한 시스템 개발을 지원하는 프레임워크 ‘ObjectWorks X’에서 이용하는 소프트웨어의 SBOM을 제공하기 시작했다.

    SBOM이란 패키지 소프트웨어나 디지털 기기 전용의 임베디드 소프트웨어에 대해서, 개개의 요소나 요소 간 관계성을 일람화하는 소프트웨어 관리 기법을 말한다.

    주로 OSS의 라이선스 관리 등에 이용해 왔지만 목적은 그 뿐만이 아니다. 최근에는 소프트웨어의 취약성 등 보안 리스크를 파악하거나 효율적으로 대응하기 위한 수단으로도 주목을 받고 있다.

    SBOM을 도입함으로써 소프트웨어에 포함된 부품에 취약성이 발견되었을 경우의 영향 유무나 범위 등을 특정하는 시간을 단축할 수 있다. 소프트웨어의 개발 단계에서 SBOM을 받을 수 있으면, 취약성의 유무나 라이선스 면에서 채택이 어려운 것 등을 조기 발견할 수 있는 이점도 있다.

    포인트는 한 업체뿐만 아니라 공급망에 종사하는 여러 업체에서 SBOM을 작성한다는 것이다. 각 사가 담당 영역에서의 SBOM을 작성하고, 이들을 조합해 나가면 완성품의 구성 요소를 정확히 파악할 수 있게 되기 때문이다. 공급망의 상류에서 하류까지, 디지털 기술을 이용한 제품의 개발에 종사하는 모든 기업이 만들어야 SBOM이 효과를 발휘하기가 쉬워진다.

    -- 미국과 유럽이 선두, 경제산업성은 지침서 공개 --
    SBOM의 도입 분위기가 높아지고 있는 것은 세계적인 조류에 따른 것이다. 발단이 된 것은 2021년 5월에 바이든 미국 대통령이 서명한 ‘국가의 사이버 보안 개선에 관한 대통령령’이다.

    이는 미국 기업이 잇달아 사이버 공격 피해를 당한 것에 대응한 것으로, 정부기관이 조달하는 소프트웨어를 대상으로 SBOM의 작성이나 제공을 요구했다. 같은 해 7월에는 미국 상무부 산하 통신정보관리청(NTIA)이 SBOM에 최소한의 필요 요소를 공표했다.

    2022년 9월에는 유럽위원회가 ‘Cyber Resilience Act(사이버복원력법)’의 법안을 공표. 이 법안에 대해 2023년 11월 30일, 유럽의회와 유럽연합(EU) 이사회가 잠정적인 합의에 이르렀다고 발표했다. 이 법안에서는 유럽 역내에서 판매되는 디지털 제품을 대상으로 SBOM 작성을 요구하고 있다. 유럽용 디지털 제품을 제조하는 기업들은 이 법안에 대응하기 위해 SBOM을 준비해야 한다.

    물론 일본 기업에게도 남의 일은 아니다. 유럽 시장에 소프트웨어를 탑재한 제품을 제공하는 기업은 SBOM을 작성해야 하기 때문이다. 경제산업성은 2023년 7월 28일에 ‘소프트웨어 관리를 위한 SBOM(Software Bill of Materials)의 도입에 관한 안내’를 공개하며 추진 의사를 분명히 했다.

    국내 시장에도 SBOM의 물결은 밀려들고 있다. 의료기기 업계에서는 2024년 4월부터 소프트웨어를 이용한 의료기기의 SBOM 대응이 필수가 되었다. 지난 2023년 3월에 약기법(의약품의료기기법)에서의 의료기기 기본 요건 기준이 개정되면서 사이버 보안에 관한 요구사항이 추가된 데 따른 것이다.

    -- SBOM의 '최소 요소' --
    소프트웨어의 취약성 관리나 OSS의 라이선스 관리 등에 도움이 되는 SBOM. 대응을 요구하는 움직임은 향후 모든 업계로 확산될 공산이 크다. 하지만 일본 국내 상황을 보면, 현시점에서 SBOM이 보급되고 있다고는 말하기 어려운 것이 실태다.

    경제산업성의 상무정보정책국 사이버보안과의 이즈카(飯塚) 과장은 “업계에 따라서는, 납품할 때 소프트웨어 부품의 컴포넌트 이름 등을 전달하지 않은 경우가 있다. SBOM을 건넨다는 것은 그것들을 표시하는 것이 된다. 기업 비밀이 포함될 경우는 저항이 있다”라고 설명하며, 우선 합의가 되는 범위에서 시작하는 것이 중요하다고 덧붙였다.

    현재 사실상의 표준으로 취급하고 있는 것은 NTIA가 2021년 7월에 공개한 문서에 기재된 SBOM의 최소 요소이다. 최소 요소에는 '데이터 필드' '자동화 서포트' '프랙티스와 프로세스'의 3개 카테고리가 있다.

    데이터 필드에서는 SBOM에 포함해야 할 정보를 명시하고 있다. 서플라이어 이름이나 컴포넌트(부품이나 제품) 이름, 컴포넌트 버전, 그 외에 고유식별자(Unique Identifier), 의존관계, SBOM의 작성자, 타임스탬프이다.

    자동화 서포트에 대해서는 기계 판독이 가능하고 상호 운용할 수 있는 포맷을 이용해 SBOM 데이터를 작성, 공유하도록 규정하고 있다. 데이터 형식에는 SPDX, CycloneDX, SWID 태그를 지정하고 있다.

    프랙티스와 프로세스에서는 SBOM을 이용하는 조직에 대해 다음 항목에 관한 운용 방법을 정하도록 제시했다. SBOM의 작성 빈도나 소프트웨어 부품에 관한 계층 구조의 깊이, 컴포넌트의 의존관계를 알 수 없는 경우에는 미지로 판명하고 있다는 취지를 명시, SBOM의 공유, 액세스 관리, 그리고 오류의 허용이다.

    경제산업성의 이즈카 과장은 “SBOM은 공급망의 상류와 하류에서 상호 운용해 나가지 않으면 안 되는 것이다. NTIA에 의한 최소 요소는, 그 개념을 맞추기 위해 참고가 된다”라고 설명한다.

    경제산업성 상무정보정책국의 다케오(武尾) 사이버보안 과장은 국내에서의 SBOM의 의무화에 대해 “아직 결정되지는 않았다. 일괄적인 의무화는 없을 것이다”라고 하면서도 “정부로서는 업계 단체에 SBOM 도입의 중요성에 대해 강조하고 있다. 예를 들면 인프라 등 중요한 영역에서는 자발적으로 하는 것이 중요하다”라고 현재 상황을 설명한다.

    -- 보안 대응의 일환 --
    SBOM에 관한 서비스를 제공하는 히타치 솔루션즈의 와타나베(渡邊) 시니어 OSS 스페셜리스트는 “2023년에는 제조업이나 의료 업계의 고객들과 SBOM에 대해 이야기를 나눌 기회가 많았다. 2024년에 들어와서는 금융이나 신용카드, 인프라 업계 등으로 확산되었다. 최근 1, 2년에 보안 대응의 일환으로서 어프로치가 보급되기 시작했다”라고 관심이 확대되고 있다는 사실을 설명했다.

    기업이 SBOM에 기대하는 것은 무엇일까? “제조물 책임이나 경제안전보장이라는 키워드를 통해 SBOM에 관심을 갖는 기업이 증가하고 있는 것을 알 수 있다”라고 와타나베 시니어 OSS 스페셜리스트는 최근의 경향을 덧붙인다.

    제조물 책임에 관해서는 제조해서 세상에 내놓은 물건의 안전성/완전성을 제조자의 책임으로서 보증하고, 그를 위해 보안 관리를 적절히 실시한다는 측면에서 SBOM과의 궁합이 좋다.

    경제안전보장의 측면에서는 컨트리 리스크나 일본의 기술적 우위성을 지키는 관점에서 특정 지역에서 유래한 것을 사용하지 않도록 하거나 해외에 의존하지 않도록 하기 위해 SBOM이 도움이 된다.

    -- 36.1%가 SBOM을 모른다 --
    각국에서 대응이 진행되며 주목을 받고 있는 SBOM이지만 일본 기업은 선수를 빼앗기고 있는 것이 실태다.

    일본, 미국, 호주 기업의 정보시스템/정보보안 담당자를 대상으로 한 NRI Secure Technologies의 조사 ‘NRI Secure Insight 2023’에 일본과 유럽, 미국에서의 의식차가 잘 나타나 있다. 일본에서는 2023년 8월 1일부터 9월 29일까지, 미국과 호주에서는 2023년 9월 8일부터 같은 달 29일까지 실시한 조사다.

    이에 따르면 SBOM을 도입 완료/이용하고 있다고 응답한 미국 기업은 41.5%, 호주 기업은 32.9%인데 반해 일본 기업은 0.8%에 그쳤다. 미국과는 40포인트, 호주와도 30포인트 이상 차이가 나는 등 차이가 역력하다. 더구나 SBOM을 모른다고 답한 일본 기업은 36.1%나 되었다.

    NRI Secure Technologies의 마쓰모토(松本) 시큐리티 컨설턴트는 “호주가 특별히 앞서고 있다기보다는 유럽과 미국을 중심으로 글로벌에서는 SBOM이 점점 더 활용되고 있다. 많은 기업이 소프트웨어의 조달 요건에서 SBOM을 요구하게 되었다"라고 설명한다.

    일본에서는 공급망에서 SBOM의 유통을 대비한 대응이 이루어지고 있지 않다는 사실도 엿볼 수 있다. SBOM을 도입 완료/검증하고 있다/검토 중이라고 응답한 기업을 대상으로 도입/검토의 목적을 복수 선택으로 물었다. “자사 제품의 SBOM을 거래처와 공유하기 위해서”라고 응답한 기업이 일본에서는 4.6%였는데 반해 미국은 41.3%, 호주는 45.7%에 달한다.

    SBOM은 자사 단독으로의 OSS 관리나 취약성 관리의 효율화에 그치는 것은 아니다. 유럽과 미국에서는 SBOM이 점점 도입되고 있으며, 거래처 기업에게 요구하는 케이스도 많아지고 있다. SBOM을 모르거나 만들 수 없는 상태에서는 비즈니스 자체가 어려워지는 시대가 눈앞에 와 있는 것이다.

    첫머리에 소개한 일본 기업들은 SBOM을 작성하기 위해 움직이기 시작했다. 각 사의 구체적인 대처 내용과 포인트를 살펴보자.

    Part 2. 도입을 추진하는 도요타
    공급망에서 통일 서식

    통일 포맷을 추진하는 도요타, 고객 요구에 맞추는 르네사스. 제조 대기업을 중심으로 한 기업들이 SBOM 도입을 서두르고 있다. SBOM을 대하는 자세는 각 사의 목적이나 생각에 따라 다르다.

    Part 3. 자사의 레벨을 알다
    플로차트 진단

    SBOM의 중요성은 알아도 어떻게 작성/운용해야 할지 망설이는 기업도 많을 것이다. 우선은 자사의 현재 위치와 어떤 대응을 강구해야 하는지에 대해 아는 것이 중요하다. 간편하게 자가 진단할 수 있도록 플로차트를 준비했다.

     -- 끝 --

    Copyright © 2020 [Nikkei Computer] / Nikkei Business Publications, Inc. All rights reserved.

    TOP

    목차

    IT가 위험하다
    데이터센터 건설 좌절, 주택 근접으로 인해 '민폐 시설'로 취급
    특집
    오늘부터 시작하는 SBOM -- 도요타와 르네사스도, 소프트웨어 가시화를 가속화하고 있는 업계
    Part1. 구미에서 높아지고 있는 도입 기운, 일본 기업도 불가피
    Part2. 도입을 추진하고 있는 도요타, 공급망에서 통일된 서식
    Part3. 자사의 레벨을 자가 진단, 플로우 차트
    특집
    - 도쿄가스, 시스템 내제의 전모 -- ‘엔지니어 제로’에서 도전
    포커스
    '소형 LLM'에 거는 국내 IT 대기업들의 승부수
    인터뷰
    - 다무라 MonotaRO 사장 -- 데이터 활용을 전단지 1장 단위로 최적화, 거래처를 포함해 SCM 개혁으로 수익 개선
    뉴스 & 리포트
    - 개인정보보호위원회가 LINE∙야후에 행정지도, 개인정보 52만 건 유출
    - ‘아이폰 독점’ 입증에 험로, 미 법무부가 애플 제소
    - 히타치가 엔비디아와 스토리지 강화, 'Hitachi iQ'로 생성 AI 학습을 빠르게
    - 소니생명이 배치 처리 의뢰를 자동화, 월 1,000건 이상에서 '100%' 실현
    - 국내외에서 눈에 띄는 X 계정 해킹 피해, 강제 변경된 인증 설정에 주의
    - 서드 파티 쿠키 폐지, MS는 추종하지만 미국 업계 단체는 비난
    - 금융용으로 생성 AI를 '확장', 일본 IBM이 5월 제공 개시
    - 후지쯔가 4월 1일자로 조직 변경, 제안형 Uvance 부문을 증강
    데이터는 말한다
    생성 AI의 도입에 대해 2023년은 준비 기간, 2024년에 ‘일부에서 본격적으로 이용’이 60% 이상
    케이스스터디
    메이지(明治)홀딩스 -- 30년간의 메인 프레임 완전 철폐, 묵혀놓은 레거시를 자동변환으로 일소
    CIO가 도전하다
    다카하시 일본우선(日本郵船) CIO -- DX는 모든 것의 조력자, 선박 무인운항 실현
    작동하지 않는 컴퓨터
    [법무성] 호적 광역 교부 개시 첫날부터 오류, 시∙구∙정(町)∙촌의 현장 운용 상정에 한계
    연재
    - 트러블을 통해 배우는 데이터베이스 구축 방법 -- 클라우드로의 DB 전환에서 트러블, 전환된 환경의 사양 확인은 필수
    - DX 성공의 열쇠가 되는 커뮤니케이션 기술 -- 누가 전달하고 누가 받는가, 신뢰관계를 구축하는 5가지 일상 행위
    - 스미토모생명보험의 디지털 인재 육성 학원 -- DX 성공에 필수적인 5가지 요소
    - 사장의 의문에 답하는 IT전문가의 대화 기술 -- 우버이츠에 공격적인 새로운 기능 도입, 기술로 안전과 신뢰를 담보
    키워드
    OSINT(Open Source Intelligence)
    오피니언
    - 극언정론 -- '기간계 쇄신은 IT부문의 사정', 이용 부문이 외면하는 이유는
    - 모바일 일도양단(一刀兩斷) -- 휴대전화 대기업의 데이터 접속료 첫 인상, 저가 SIM 사업자에 미치는 영향은?
    - GAFA 심층 분석 -- 오픈AI의 경쟁사 창업자가 추천, AI 환각 대책의 비장의 카드 'Rerank'
    - 프로그래밍으로 가자 -- AI가 사장이 될 수 있을까? 중소기업 사장의 희망을 실현
    - '오늘도 누군가를 노린다' -- 아스키아트로 폭탄 만드는 기술을 전수, 생성 AI를 악용하는 'ArtPrompt'

    -- 끝 --

    TOP