KISIA SBOM 자동생성 툴 실증 결과 보고서 발간

한국정보보호산업협회(KISIA)는 고려대학교 컨소시엄 R&D 연구과제를 통해 개발된 소프트웨어 자재 명세(SBOM) 자동생성 툴에 대한 실증 결과를 담은 ‘SBOM 도구 실증 결과 보고서’를 발간했다고 11일 밝혔다.

이번 보고서는 미국 NTIA(국립통신정보청)에서 제시한 SBOM 도구 및 명세서 기준을 바탕으로 고려대 컨소시엄이 개발한 SBOM 자동생성 툴을 실제 정보보호 기업의 솔루션에 적용해 실증한 결과를 포함하고 있다.

또한, 국내외 공급망 보안 정책 동향, SBOM 개념 및 필요성 등 관련 정보도 함께 수록됐다.

실증 과정은 두 차례에 걸쳐 진행됐다. 1차 실증에서는 SBOM 도구 및 명세서의 성능을 평가한 후 미비점을 분석하고 보완하는 과정을 거쳤다.

이후 개선된 도구를 바탕으로 2차 실증을 수행해 최종 결과를 도출했다.

그 결과, 컨소시엄이 개발한 SBOM 도구는 NTIA가 제시한 9가지 기능 유형을 충족했으며, SBOM 명세서 역시 NTIA 최소구성요소의 데이터 필드 7가지 요소를 만족하는 것으로 확인됐다.

실증에 참여한 기업들은 SBOM 도구를 활용해 소프트웨어 투명성과 오픈소스 관리의 효율성을 높일 수 있음을 체감했으며, 소프트웨어 공급망 보안의 중요성을 다시 한번 인식하는 계기가 됐다.

KISIA 는 고려대학교 소프트웨어보안연구소(소장 이희조, CSSA), 강원대학교(총장 정재연) 산학협력단, 한국과학기술원(KAIST, 총장 이광형)과 함께 과학기술정보통신부 및 정보통신기획평가원이 지원하는 ‘SW 공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발’ 연구 과제의 공동 연구기관으로 선정돼 2022년부터 연구를 진행하고 있다.

다른기사보기

배동현 (grace8366@sabanamedia.com) 기사제보