SBOM(Software Bill of Materials)을 활용한 오픈소스 SW 관리 방안

■ SBOM(Software Bill of Materials)을 활용한 오픈소스SW 관리 방안

‍

◼︎ 소프트웨어 공급망과 오픈소스

기업 및 기관에서 사용하는 소프트웨어의 90% 이상이 오픈소스를 이용하여 개발하고 있습니다. 오픈소스SW 취약점을 이용한 소프트웨어 공급망 공격이 지속적으로 발생하며 피해액이 2023년 460억 달러에서 2031년 1,380억 달러로 증가할 것으로 추정되는데요. (출처:가트너) 이에 따라 전세계 여러 국가에서 소프트웨어 공급망 보안을 위한 공통적인 방법으로 SBOM관리를 제시하고 있습니다.

‍

◼︎ SBOM를 이용한 오픈소스SW 관리

2010년대부터 여러 기관 및 단체에서 SBOM 연구와 표준화를 진행하고 있습니다. (SPDX®, CycloneDX, SWID 등) SBOM을 이용하면 다음과 같은 오픈소스SW 사용시의 문제점을 관리할 수 있습니다.

‍

1. 신속한 보안 취약점 여부 확인

2. 라이선스 식별 및 조치

3. 개발사 또는 공급사에 대한 보안성 검토 및 사용지속 여부 결정

‍

◼︎ 오픈소스SW 관리체계

오픈소스SW 관리를 위한 국제표준 ISO/IEC 18974:2023 가 2023년 12월에 발표됐습니다. 오픈소스SW 관리체계 구축은 조직 규모 및 특성에 따라 다음의 항목을 고려해야 합니다.

‍

1. 오프소스SW 관리 조직의 구성 : IT개발조직 또는 IT기획조직

2. 오픈소스SW 관리 시스템의 도입 : 수동관리 또는 시스템 도입

3. SBOM 관리항목

4. 위험평가

5. 오픈소스SW 저장소

‍

SK쉴더스 화이트해커 그룹 EQST의 최신 보안 인사이트가 담긴 EQST insight 전문이 궁금하다면?

‘더 알아보기’를 클릭해 보세요!

‍

👉 더 알아보기: https://www.skshieldus.com/report/eqstInsight/headline2409.html

‍

◾ EQST(이큐스트)는 ‘Experts, Qualified Security Team’ 이라는 뜻으로 사이버 위협 분석 및 연구 분야에서 검증된 최고 수준의 보안 전문가 그룹입니다.