SBOM이란?

사전적 정의

SBOM(Software Bill of Materials, 소프트웨어 자재명세서)은 소프트웨어 제품을 구성하는 모든 오픈소스 패키지, 라이브러리, 모듈 및 이들 간의 종속 관계를 상세히 기록한 명세서입니다. 제조업의 자재명세서(BOM) 개념을 소프트웨어 개발 분야에 적용한 것으로, 현대의 복잡한 소프트웨어 공급망 내에서 구성 요소의 투명성을 확보하고 보안 취약점을 체계적으로 관리하기 위한 표준화된 목록을 의미합니다.

실무 사용 예시

특정 오픈소스 라이브러리(예: Log4j)에서 심각한 보안 취약점이 발견되었을 때, 보안 운영팀은 기 구축된 SBOM 데이터베이스를 검색하여 사내 어떤 시스템과 애플리케이션이 해당 라이브러리를 포함하고 있는지 즉시 식별합니다. 이를 통해 전수 조사에 소요되는 시간을 단축하고 패치 적용 등 대응 우선순위를 신속하게 결정할 수 있습니다.

관련 단어

• 소프트웨어 공급망 보안 (SSCS): 소프트웨어의 설계부터 배포, 운영까지 전 과정에 걸친 보안 위협을 관리하고 통제하는 체계입니다.
• SCA (Software Composition Analysis): 애플리케이션 내 포함된 오픈소스의 보안 취약점과 라이선스 위험을 분석하는 기술입니다.
• SLSA (Supply-chain Levels for Software Artifacts): 소프트웨어 산출물의 무결성을 보장하기 위해 구글이 제안한 보안 프레임워크입니다.