[디지털투데이 박건도 기자] 정부가 오는 3월  소프트웨어 자재명세서(SBOM)에 대한 개념과 활용법을 담은 'ICT 공급망 보안 가이드라인'을 내놓는다. 

SBOM은 국내에서는 일부 대기업을 제외하면 아직 개념조차 낮선 상황. 이에 이번 가이드라인에 어떤 내용들이 담길지 관심이 모아진다.

업계에 따르면 이번 가이드라인에서는 SBOM에 대한 개념 정의부터 관련 표준들이 소개될 예정이다.  또 기업 내 SW 개발환경에 따라 선택할 수 있도록 장단점이 포함될 것으로 보인다.

SBOM 표준으로는 국제웹보안표준기구(OWASP)가 주도하는 '사이클론DX(Cyclone Data Exchange)'와 리눅스 재단이 운영하는 'SPDX(Software Package Data Exchange)'이 대표적이다.

사이클론DX는 ‘BOM 링크’를 지원해 다른 시스템이나 다른 BOM에서 BOM 내부의 구성 요소, 서비스 또는 취약점을 참조할 수 있다. SPDX는 다양한 파일 확장자를 지원한다. 사이클론DX가 JASON과 XML만 지원하는 반면 SPDX는 YAML, XLSL도 지원한다. 인텔, 마이크로소프트가 SPDX를 SBOM으로 사용 중이다.

국내에서 제작한 SBOM 표준도 있다. 잘 알려지지 않았지만 한국정보통신기술협회(TTA)와 국정원도 SBOM 표준을 만든 바 있다. 

ICT 공급망 보안 가이드라인이 나와도 강제성이 있는 것은 아니다. 국내 가이드라인의 목표는 SBOM 저변 확대라는 게 과기정통부의 설명이다.

과기정통부 관계자는 "이번 가이드라인은 SBOM을 통해 SW 자산을 관리하는 등 활용도를 높일 수 있는 방법을 소개하고, 개발자가 본연의 업무에 충실할 수 있는 개발 문화를 만들어 가는데 초점이 있다"고 말했다.

반면 현재 미국·유럽연합(EU)은 SBOM 도입 의무화를 추진 중이다. 미국은 공급망 위협의 심각성을 인식하고 연방정부에 ICT를 납품할 시 의무적으로 SBOM을 도입하도록 했다. EU도 올해부터 공공기관에 제품 납품 시 제품별 세부사항 제출 의무화를 추진하고 있다. 

한편, 가이드라인 발표 이후에는 관련 실증사업들이 진행될 예정이다. 당국은 SBOM 시범 도입기관을 지원하고, 공급망 단계별 체크리스트를 마련해 자체적으로 2중·3중 안전성을 확보하도록 지원할 계획이다.