특정 성분에 알레르기가 있거나 다이어트에 열을 올리는 소비자는 마트에서 물건을 살 때 가격보다 성분을 먼저 본다. 어떤 재료로 만들었는지 알아야 먹어도 되는 음식인지 아닌지를 판단할 수 있기 때문이다. 소프트웨어(SW)를 구매할 때도 마찬가지다. 구입 후 기업이나 기관에 도움이 될지 아니면 피해가 될지 판단할 수 있는 구성요소 명세서가 필요하다. 그래야 만에 하나 발생할 수 있는 사고를 미리 방지할 수 있다.
최근 미국 보안업계에서는 소프트웨어 구성요소를 공개하는 에스밤(SBoM)이 주목을 받는다. 에스밤(SBoM, Software Bill of Materials)은 말 그대로 소프트웨어 구성요소 명세서다. 오픈소스, 라이브러리와 같은 SW 구성 정보를 만든 후 구매자에게 제공하는 유행이 번진다.
미국에서는 2014년부터 에스밤 도입과 관련한 움직임이 있었지만, 아직 한국에서는 아직 생소한 개념이다. 미국 정부 기관은 2014년 당시 ‘사이버 공급망 관리와 투명성법’ 제정을 추진하다. 모든 신제품에 대한 에스밤 요구와 함께 기존에 사용 중인 모든 SW와 펌웨어에 대한 에스밤 제출을 의무화하는 법안이었다. 해당 법안은 최종적으로 통과되지 못했지만, 2017년 사물인터넷 사이버보안 개선법을 제정할 때 영향을 줬다. 일부 내용이 법안에 추가됐다.
사이버 보안 경각심이 고조된 2021년 5월 바이든 미 행정부는 행정명령으로 정부에 납품하는 모든 기기의 에스밤 제공을 의무화했다. 연방정부와 사업 계약을 맺은 기업은 에스밤을 제출해야 한다. 7년 만에 법제화된 셈이다.
에스밤으로 얻을 수 있는 이점은 뭘까. 간단하게 말하면, 에스밤은 SW를 구입하는 사람은 물론 SW를 개발하거나 제조하는 사람, 소프트웨어를 운용하는 사람 모두에게 이익을 준다. 에스밤을 갖고 있다면, SW에 문제가 발생하거나 새로운 보안 취약점이 발견됐을 때 개발자나 구매자 모두 신속하게 대응할 수 있다.
제로데이 공격을 예를 들어 설명하면, 이 공격과 관련한 보안 취약점 발견은 사실 상당한 시간이 필요한 어려운 일이다. 핵심 시스템의 보안 취약점이 발견되면 시간을 두고 패치가 나오는데, 제로데이 공격은 패치가 나오기 전 취약점을 이용해 악성코드나 프로그램을 제작해 공격을 가하는 수법이다. 별도의 대처방안이 없다 보니 막대한 피해가 뒤따를 수밖에 없다.
하지만 구성요소가 공개된 소프트웨어라면 사정이 다르다. 일단 해당 소프트웨어를 만들 때 사용한 오픈소스가 어떤 것인지, 또한 어떤 버전을 이용해 개발했는지 한눈에 파악할 수 있기 때문에 문제 해결책을 찾는 시간을 확 줄일 수 있다.
2021년 12월 전 세계는 ‘로그4j’로 긴장했다. 어떤 부분부터 대응에 나서야 하는지 판단하는 데 시간이 필요했는데, 자칫 이런 공백 기간에 제로데이 공격을 받을 수 있었다. 한동안 방치했던 에스밤 의무화를 빨리해야 하는 것 아니냐는 공감대가 형성되는 계기가 됐다. 에스밤을 체계적으로 관리했다면, 로그4j에 대한 대응 속도 역시 빨라질 수 있었을 것이다.
에스밤은 이미 해외에서 하나의 보안 트렌드가 됐다. 국내 보안업계도 에스밤에 관심을 보인다. 컴퓨터 역사상 최악의 취약점으로 불리는 로그4j 위협은 장기화할 전망이다. 한국 정부는 에스밤의 중요성에 대해 인식하고, 발 빠르게 정책적 보완책 마련에 힘써야 할 것이다.
류은주 기자 riswell@chosunbiz.com
- [줌인IT] 대기업 중고차 시장진출 타진, 소비자란 명분 잊지말아야
- [줌인IT] 500만원 넘는 국산 최신 게이밍 노트북
- [줌인IT] 윤석열 당선인에게 핀테크란?
- [줌인IT] 모자란 행정력, 전기차 충전·전동 킥보드 단속 유명무실
- [줌인IT] 하이브리드 전쟁 시대 IT 군대 육성해야
- [줌인IT] '그들만의 리그'로 전락한 대기업 성과급 잔치
- [줌인IT] 지금 대한민국에 혈액이 부족하다
- [줌인IT] ‘민영기업' 포스코의 잰걸음… 정치권 개입 말아야
- [줌인IT] 인텔 참전 앞둔 그래픽카드 시장 ‘폭풍전야’
- [줌인IT] 기울어진 운동장 바로잡기의 이면
- [줌인IT] 전기차 전환, 명확한 세금 징수 계획 필요하다
- [줌인IT] 불분명한 '메타버스'를 준비하는 우리의 자세
- [줌인IT] 삼성 TV 사업, 명분에 밀려 실리 잃지 말아야
- [줌인IT] 시장 불신 자초한 제약바이오, 공시 가이드 변경으로 신뢰 찾을까
- [줌인IT] 상생없는 ‘혁신의 아이콘' 테슬라
- [줌인IT] 해외는 게임성, 국내는 블록체인
- [줌인IT] 비트코인 하락에 그래픽카드 값 폭주 멈추나
- [줌인IT] 난감한 생보사의 디지털화
- [줌인IT] 성능보다 가격 따지는 이상한 전기차 보조금
- [줌인IT] 효도폰 말고 노인을 위한 휴대폰 서비스는 없나
- [줌인IT] 시총 3000조원 회사 애플의 AS "소비자 탓입니다"
- [줌인IT] 디지털 대전환시대, 북한 미사일만 위협이 아니다
- [줌인IT] 너도나도 플랫폼의 시대...책임은 누가 지나
- [줌인IT] 신세계에 가려진 한화 3세發 ‘오너리스크’
- [줌인IT] 국가 백신·치료제 산업 성패는 ‘기초과학’에 있다
- [줌인IT] 에디슨모터스, 자신감만으로 설득 못한다
- [줌인IT] AMD의 비약과 제정신 차린 인텔
- [줌인IT] 쏠리는 관심만큼 안전장치 필요한 핀테크
- [줌인IT] 오미크론 뚫고 CES 참전한 K자율주행, 보상은 C-V2X 단일 표준
- [줌인IT] 단지 내 5G 기지국이 인체에 유해하다고?
- [줌인IT] 삼성, 갤S22 성능 강제로 떨어뜨린 GOS 반면교사 삼아야
- [줌인IT] 이통3사, 갤럭시S22 가입자 알뜰폰에 다 뺏길 판
- [줌인IT] 1등 거래소 업비트의 이상한 거리두기