오픈소스에 의존하는 개발 환경에서 공급망 공격이 빠르게 늘고 있습니다. SBOM의 의미와 필요성, 국내외 흐름, 기업이 지금 준비해야 할 대응 전략을 쉽게 정리했습니다.

디지털 서비스는 대부분 오픈소스와 외부 모듈을 조합해 개발됩니다. 이러한 구조는 개발 속도를 높이지만, 여러 서비스가 동일한 구성요소를 공유하게 만들기 때문에 하나의 취약점이 공급망 전체로 확산될 수 있습니다. 실제로 최근 공급망 공격은 반복적으로 발생하며 소프트웨어 보안의 핵심 이슈로 자리 잡고 있습니다. 이 변화 속에서 SBOM(Software Bill of Materials)은 기업이 위험을 빠르게 파악하고 대응하기 위해 반드시 갖춰야 하는 필수 요소로 떠오르고 있습니다.

오픈소스 보편화가 가져온 보안 리스크

오늘날 디지털 제품 대부분은 오픈소스와 외부 모듈을 조합하는 방식으로 개발됩니다. 개발 속도는 크게 높아졌지만, 여러 서비스가 동일한 패키지를 사용하면서 문제 발생 시 영향 범위가 한 번에 확대되는 구조가 만들어졌습니다.

특히 오픈소스 생태계는 아래와 같은 특징을 가집니다.

• 인기 패키지 하나가 수만 개 프로젝트에 재사용됨
• 패키지 내부 코드 전체를 개발자가 직접 검증하기 어려움
• 업데이트가 자주 일어나고, 변경 내용을 추적하기 까다로움
• 외부 개발자가 만드는 ‘의존성 패키지’까지 신뢰해야 하는 구조

이 구조는 편리하면서도 위험합니다. 개발 속도는 높여주지만, 문제가 발생하면 영향 범위가 한순간에 글로벌로 확대되기 때문입니다. 바로 이 지점이 공격자들이 노리는 틈입니다. 조용히 오픈소스 저장소에 악성코드를 심거나, 인기 패키지의 업데이트에 악성 스크립트를 섞어 넣으면 해당 패키지를 사용하는 기업과 서비스 전체가 연쇄적으로 피해를 입게 됩니다.

즉, 오픈소스는 이제 “개발의 표준 부품”이 되었고, 그만큼 하나의 취약점이 산업 전반에 확산되는 구조적 취약성도 함께 커지고 있습니다.

SW 공급망 공격이 현실적 위협으로 떠오르다

SBOM 논의가 빠르게 확산된 가장 큰 이유는 오픈소스 생태계를 통한 공급망 공격이 실제로 반복되고 있기 때문입니다. 최근 사건들은 특정 기업만의 문제가 아니라, 여러 서비스가 같은 오픈소스를 함께 사용하는 구조 자체가 위험 요소가 될 수 있음을 보여줍니다. (사례 출처: IT조선 - 개발자 노리는 오픈소스 악성코드… ‘SBOM’ 주목)

사례 1: ‘샤이-훌루드(Shai-Hulud)’ 악성코드 변종 확산

지난 9월 발견된 ‘샤이-훌루드’는 초기에는 180여 개 npm 패키지가 감염된 것으로 확인되었습니다. 그러나 이후 변종이 등장하면서 800여 개 이상 npm 패키지로 감염 범위가 확대되었습니다. 감염된 패키지를 설치하면 인증정보, CI/CD 토큰, 환경변수, 클라우드 접근 키 등이 외부로 유출되거나 파괴될 위험이 있습니다.

npm 패키지는 전 세계 개발자들이 공유하는 저장소이기 때문에, 한 번 감염이 이루어지면 다른 프로젝트와 서비스로 빠르게 확산될 가능성이 매우 큽니다.

사례 2: 대규모 자바스크립트 패키지 감염 사건

주간 26억 건 이상 다운로드되는 핵심 자바스크립트 패키지 18개가 악성코드에 감염된 사례도 있습니다. 이는 하나의 패키지 감염이 수백만 사용자 서비스 장애로 이어질 수 있음을 보여준 단적인 사례입니다.

공격자들은 더 이상 서비스 기업을 직접 공격하지 않고, 대신 개발자가 사용하는 오픈소스 저장소를 노려 악성코드를 심는 방식이 늘고 있습니다.

이 방식이 위험한 이유는 개발 과정에서 악성 패키지가 자연스럽게 프로젝트에 포함되고, 최종 제품까지 그대로 전달되기 때문입니다. 감염 요소가 공급망 전체로 확산되면 피해 규모는 기하급수적으로 커질 수 있으며, 공격자들은 바로 이 구조를 이용해 개발자의 신뢰 체계를 거쳐 공급망 전체를 장악하려는 전략을 사용합니다.

SBOM의 필요성과 가치

SBOM은 소프트웨어 안에 포함된 오픈소스와 외부 구성요소를 일목요연하게 나타낸 소프트웨어 부품표입니다. 어떤 구성요소가 사용되었는지, 해당 버전은 무엇인지, 어디에서 가져왔는지, 그리고 어떤 의존성을 갖고 있는지까지 투명하게 보여주는 역할을 합니다.

이러한 정보는 평상시에는 잘 드러나지 않지만, 취약점이나 악성 패키지가 확인되는 순간 그 진가가 드러납니다. SBOM을 보유한 조직은 문제가 반영된 제품을 즉시 식별하고, 영향 범위를 빠르게 파악해 우선순위에 따라 조치할 수 있습니다.

또한 SBOM은 단순한 목록이 아니라 지속적인 취약점 관리 체계의 기반이 됩니다. 구성요소의 변경 이력과 취약점 정보를 꾸준히 추적할 수 있어 패치와 업데이트를 더욱 체계적으로 수행할 수 있으며, 감사·감독 요구가 늘어난 환경에서도 필요한 정보를 구조화된 형태로 제공할 수 있어 대응 부담을 줄여줍니다.

아울러 SBOM은 외부 고객이나 파트너에게 소프트웨어가 어떤 요소로 구성되어 있는지 투명하게 제시함으로써 신뢰를 높이는 지표가 되며, 미국·EU를 중심으로 한 글로벌 규제에서도 SBOM 제출이 표준으로 자리 잡고 있어 국제 기준을 충족하는 기반 또한 마련할 수 있습니다.

결국 SBOM은 단순히 문서를 만드는 수준을 넘어, 조직의 개발·운영 전반에 보안 프로세스를 정착시키는 핵심 도구라고 할 수 있습니다.

국내외 SBOM 정책 및 시장 현황

SBOM은 이미 글로벌 규제의 중심으로 이동했습니다. 즉, SBOM은 글로벌 규제와 표준에서 공통적으로 요구되는 핵심 요건으로 자리 잡고 있습니다.

해외

• 미국: 2021년부터 연방정부와 계약하는 모든 SW 개발·공급 기업 대상 SBOM 의무 제출
• 미국 식품의약국(FDA)과 유럽연합(EU)의 사이버복원력법(CRA) 등 SBOM 제출 의무화
• 글로벌 기술 기업들은 SBOM 관리 체계를 표준 프로세스로 채택

국내

• ‘범정부 정보보호 종합대책’에서 SBOM 제도화 본격 추진
• 과학기술정보통신부와 한국인터넷진흥원(KISA)은 지난해 ‘SW 공급망 보안 가이드라인 1.0’ 버전을 발표하고 공공기관 및 중요정보통신기반시설에 SBOM의 생성·제출·관리 절차 적용
• 국내 기업·보안업계도 SBOM 기능을 빠르게 도입 중

기업들은 어떻게 대응하고 있는가?

국내 기업들은 이미 아래와 같은 방향으로 움직이고 있습니다.

1) SAST · DAST · SCA 기반의 조기 대응

여러 기업은 정적 분석(SAST), 동적 분석(DAST), SW 구성 분석(SCA) 도구를 활용해 개발 단계에서 취약 요소를 조기에 찾아내는 체계를 운영하고 있습니다. 이는 공급망으로 위험이 확산되기 전에 내부 개발 소프트웨어의 안정성을 먼저 확보하려는 기본적인 대응 방식입니다.

2) SBOM 생성·관리 도입 확대

최근 기업들은 SBOM을 자동으로 생성하고 관리하는 기능을 구축하며, 오픈소스 구성요소와 잠재적인 취약점을 명확하게 파악하는 데 집중하고 있습니다. 일부 기업은 실행 환경에서 사용하는 구성요소를 실시간으로 확인하는 ‘런타임 SBOM’을 실험하고 있으며, SBOM을 안전하게 주고받기 위해 서명과 무결성 검증 기능을 강화하는 흐름도 나타나고 있습니다. (출처: IT데일리 - 오픈소스 저장소 또 뚫렸다…악성코드 ‘샤이훌루드’ 변종 기승)

3) 개발-빌드-배포 전 과정에서 SBOM 활용

공격이 유입될 수 있는 모든 단계를 SBOM으로 점검하는 방식으로, 소프트웨어 라이프사이클 전체에서 구성요소 변화를 지속적으로 관리하고 있습니다. 이는 단순히 규제 대응에 그치지 않고 서비스 운영의 안정성을 확보하기 위한 필수적인 리스크 관리 체계로 자리 잡고 있습니다.

드림시큐리티는? SBOM 기반의 공급망 보안 강화 전략

드림시큐리티는 SBOM을 개발·운영 과정에 적용하여 소프트웨어 공급망 보안을 강화하고 있습니다. 자사 제품이 다양한 오픈소스로 구성된 만큼, 취약점이 발견될 경우 해당 구성요소가 사용된 제품을 신속하게 식별하고 패치를 적용하는 것이 중요합니다. 드림시큐리티는 이러한 필요에 대응하기 위해 전 제품군에 SBOM을 적용해 개발 단계부터 보안성을 높였으며, 이를 고객사에도 제공하여 소프트웨어 안정성과 현장 적용성을 입증하고 있습니다.

FAQ

Q1. SBOM은 모든 기업이 반드시 도입해야 하나요?

필수는 아니지만, 해외에서는 이미 의무화가 진행되고 있어 수출·협력 과정에서 요구가 늘고 있습니다. 국내도 SBOM 표준화와 공급망 보안 가이드라인 마련이 진행 중이어서 도입 필요성이 빠르게 커지고 있습니다.

Q2. SBOM이 있으면 공급망 공격을 완전히 막을 수 있나요?

완전한 차단은 어렵지만, “확산 속도와 피해 범위”를 현저히 줄일 수 있습니다. 이는 사고 대응 시간(TTR)을 단축해 비즈니스 피해를 최소화합니다.

Q3. SBOM 공개 시 기업 내부 정보가 노출되지 않나요?

공개용 SBOM에는 필수 정보만 포함하며, 내부용 SBOM은 별도로 관리하는 것이 글로벌 모범사례입니다.

결론

오픈소스를 활용한 개발 속도는 앞으로도 더욱 빨라질 것이며, 그만큼 공급망 공격 역시 지속적으로 정교해질 것입니다. 이러한 환경에서 SBOM은 기업이 위험을 조기에 식별하고 대응할 수 있도록 돕는 가장 현실적인 방안입니다.

드림시큐리티는 자체 솔루션 전반에 SBOM 기반 개발·관리 체계를 도입하여 공급망 보안 수준을 강화하고 있습니다. 소프트웨어 구성요소를 명확히 파악하고 취약점 발생 시 신속히 대응할 수 있는 구조를 마련함으로써, 제품의 안정성과 신뢰성을 높이는 데 집중하고 있습니다.

보안은 이제 한 제품이나 한 시스템만의 문제가 아닙니다. 개발 과정에 활용되는 오픈소스, 외부 모듈, 배포 과정까지 모두가 하나의 연결된 공급망이며, 그 전체를 투명하게 관리할 수 있어야 합니다. SBOM은 이 공급망을 안전하게 운영하기 위한 첫 번째 단계이며, 앞으로의 디지털 서비스 환경에서 필수적인 요소가 될 것입니다.

기업이 SBOM을 조기에 준비하고 체계화할수록, 예측하지 못한 공급망 위험을 줄이고 시장 변화에 더 안정적으로 대응할 수 있습니다.