SBOM 협의체 킥오프…중소부터 대기업까지 한자리에

중소기업부터 대기업까지 민간기업들이 SBOM(소프트웨어 자재명세서) 인식 제고를 위해 한자리에 모였다. 과학기술정보통신부가 SW(소프트웨어) 공급망 보안 수단으로 SBOM 도입을 적극 추진하고 전세계적으로 SBOM 작성이 의무화되면서 민간기업들도 SW 안정성 확보와 무역장벽 극복을 위해 적극 협조하는 모습이다.

2일 과기정통부 및 업계에 따르면 SBOM 협의체는 최근 KOSA(한국소프트웨어산업협회)에서 킥오프 회의를 열고 본격 활동에 들어갔다. 킥오프 회의에는 과기정통부 SW산업과, 정보보호산업과 관계자들과 NIPA(정보통신산업진흥원), KISA(한국인터넷진흥원) 및 협의체 회원사 관계자 20여 명이 참석했다.


SBOM은 SW가 어떻게 구성돼 있는지 일종의 설계도 같은 개념이다. SW를 만들 때 SBOM을 함께 작성하면 향후 사이버 공격을 받거나 오류를 일으켰을 때 SBOM을 참고해 신속히 문제를 해결할 수 있다는 장점이 있다. 하지만 SBOM을 작성하는데 인력과 예산이 추가로 필요하다는 단점도 있다.

SBOM 협의체는 국내 SW 기업들의 SBOM과 같은 SW 공급망 관리방안 및 글로벌 동향에 대한 인식을 높이기 위해 출범했다. 과기정통부는 공급망 보안 수단으로 SBOM을 도입하려고 노력 중이지만 현장에서 필요성 및 인식이 아직 낮아 중소·중견기업을 회원사로 두고 있는 KOSA에 민간 자율 협의체 구성을 요청했다.

이날 회의에 대기업으로는 LG CNS가 참석했다. 중견기업으로는 티맥스소프트가 참석했고 엔텀네트웍스, 이스트림, 스패로우 등 보안 및 SW 관련 중소기업 회원사가 대거 참석했다. SBOM 협의체 자체가 SBOM 인식이 낮은 중소기업을 위해 만들어진 만큼 중소기업들의 참여율이 높은 모습이다.


회의에서는 먼저 과기정통부 관계자들이 SW 공급망 보안 정책을 소개하고 참석 기업들이 향후 활동방향을 논의했다. 참석 기업들은 대체로 과기정통부의 SBOM 도입 계획에 공감을 표했고 SBOM이 전세계적으로 주목받고 있는 만큼 국내 인식 제고를 위해 수요 기업의 의견을 취합해 정기회의를 분기별로 1회 개최하기로 했다.

과기정통부는 SBOM 협의체를 운영하면서 공급망 보안 정책 효율성을 높이기 위해 대기업 등 민간과 협력을 강화할 방침이다. 대기업의 경우 중소·중견기업의 SW를 통합해 솔루션을 만드는 과정에서 이미 SBOM 같은 공급망 보안 기술에 많은 투자와 연구개발을 하는 것으로 알려졌다. 과기정통부는 대기업 공급망 보안 기술을 적극 벤치마킹하면서 지원을 이끌어낼 계획이다.

과기정통부 관계자는 "LG나 삼성같은 대기업들은 이미 자체 오픈소스 라이센스를 가지고 있거나 취약점을 점검할 수 있는 도구를 가지고 관리하는 등 정부보다 1~2년 앞서 공급망 보안을 연구하기 시작했다"며 "협의체를 통해 중소·중견기업의 인식을 제고하고 현재 진행 중인 실증사업 결과를 바탕으로 가이드라인을 마련해 나갈 계획"이라고 말했다.