특정 성분에 알레르기가 있거나 다이어트에 열을 올리는 소비자는 마트에서 물건을 살 때 가격보다 성분을 먼저 본다. 어떤 재료로 만들었는지 알아야 먹어도 되는 음식인지 아닌지를 판단할 수 있기 때문이다. 소프트웨어(SW)를 구매할 때도 마찬가지다. 구입 후 기업이나 기관에 도움이 될지 아니면 피해가 될지 판단할 수 있는 구성요소 명세서가 필요하다. 그래야 만에 하나 발생할 수 있는 사고를 미리 방지할 수 있다.

최근 미국 보안업계에서는 소프트웨어 구성요소를 공개하는 에스밤(SBoM)이 주목을 받는다. 에스밤(SBoM, Software Bill of Materials)은 말 그대로 소프트웨어 구성요소 명세서다. 오픈소스, 라이브러리와 같은 SW 구성 정보를 만든 후 구매자에게 제공하는 유행이 번진다.

미국에서는 2014년부터 에스밤 도입과 관련한 움직임이 있었지만, 아직 한국에서는 아직 생소한 개념이다. 미국 정부 기관은 2014년 당시 ‘사이버 공급망 관리와 투명성법’ 제정을 추진하다. 모든 신제품에 대한 에스밤 요구와 함께 기존에 사용 중인 모든 SW와 펌웨어에 대한 에스밤 제출을 의무화하는 법안이었다. 해당 법안은 최종적으로 통과되지 못했지만, 2017년 사물인터넷 사이버보안 개선법을 제정할 때 영향을 줬다. 일부 내용이 법안에 추가됐다.

사이버 보안 경각심이 고조된 2021년 5월 바이든 미 행정부는 행정명령으로 정부에 납품하는 모든 기기의 에스밤 제공을 의무화했다. 연방정부와 사업 계약을 맺은 기업은 에스밤을 제출해야 한다. 7년 만에 법제화된 셈이다.

에스밤으로 얻을 수 있는 이점은 뭘까. 간단하게 말하면, 에스밤은 SW를 구입하는 사람은 물론 SW를 개발하거나 제조하는 사람, 소프트웨어를 운용하는 사람 모두에게 이익을 준다. 에스밤을 갖고 있다면, SW에 문제가 발생하거나 새로운 보안 취약점이 발견됐을 때 개발자나 구매자 모두 신속하게 대응할 수 있다.

제로데이 공격을 예를 들어 설명하면, 이 공격과 관련한 보안 취약점 발견은 사실 상당한 시간이 필요한 어려운 일이다. 핵심 시스템의 보안 취약점이 발견되면 시간을 두고 패치가 나오는데, 제로데이 공격은 패치가 나오기 전 취약점을 이용해 악성코드나 프로그램을 제작해 공격을 가하는 수법이다. 별도의 대처방안이 없다 보니 막대한 피해가 뒤따를 수밖에 없다.

하지만 구성요소가 공개된 소프트웨어라면 사정이 다르다. 일단 해당 소프트웨어를 만들 때 사용한 오픈소스가 어떤 것인지, 또한 어떤 버전을 이용해 개발했는지 한눈에 파악할 수 있기 때문에 문제 해결책을 찾는 시간을 확 줄일 수 있다.

2021년 12월 전 세계는 ‘로그4j’로 긴장했다. 어떤 부분부터 대응에 나서야 하는지 판단하는 데 시간이 필요했는데, 자칫 이런 공백 기간에 제로데이 공격을 받을 수 있었다. 한동안 방치했던 에스밤 의무화를 빨리해야 하는 것 아니냐는 공감대가 형성되는 계기가 됐다. 에스밤을 체계적으로 관리했다면, 로그4j에 대한 대응 속도 역시 빨라질 수 있었을 것이다.

에스밤은 이미 해외에서 하나의 보안 트렌드가 됐다. 국내 보안업계도 에스밤에 관심을 보인다. 컴퓨터 역사상 최악의 취약점으로 불리는 로그4j 위협은 장기화할 전망이다. 한국 정부는 에스밤의 중요성에 대해 인식하고, 발 빠르게 정책적 보완책 마련에 힘써야 할 것이다.

류은주 기자 riswell@chosunbiz.com


관련기사
키워드