보도자료 : 정보통신산업진흥원

×

전체검색 열기 ENG 닫기

홍보센터

SBOM 전문가 세미나 개최
이상헌 2022-02-24 2022
내용	□ 정보통신산업진흥원(원장 허성욱, 이하 NIPA)은 24일 SW마에스토로센터에서 SBOM(Software Bill of Materials, SW 명세서) 관련 국내·외 동향과 향후 대응 방안 논의를 위한 전문가 세미나를 개최하였다. ㅇ 세미나에는 한국전자통신연구원(ETRI), 소프트웨어정책연구소(SPRi), 한국정보통신기술협회(TTA), 한국인터넷진흥원(KISA) 등 유관기관과 LG전자, 삼성SDS, 유니티커뮤니티, 누리텔레콤, 인피니트헬스케어 등 SW 전문기업이 참석하였다. □ SBOM은 소프트웨어의 구성요소를 식별하고 의존관계 정보를 관리하기 위한 품목 명세서를 의미한다. ㅇ 디지털 전환 가속화로 사회기반시설에서의 소프트웨어 재사용률과 복잡도가 증가하면서, SBOM을 활용한 소프트웨어의 공급망 투명성 관리에 대한 필요성이 대두되고 있다. ㅇ 이와 함께 최근 Log4j 보안 취약점 공격 등으로 전 세계적인 피해가 발생함에 따라 사이버 안보 측면에서 SBOM을 활용한 국가적 대응 체계 구축을 위해 논의가 각 나라별로 본격화되는 상황이다. ㅇ 특히 미국은 작년 5월 ’사이버안보 개선 행정명령(EO 14028)‘을 통해 연방기관에 납품하는 소프트웨에 대한 SBOM 제출 의무화를 발표한 바 있어, 국내 수출 기업의 공급망 피해 최소화와 향후 대응방안 모색이 시급한 상황이다. □ 세미나에서는 ETRI와 LG전자가 해외 주요 동향과 국내 기업 적용 사례 등을 발표하고, 국내 SW기업들의 현장 의견을 청취하였다. ㅇ ETRI 최민석 박사는 미국에서 행정명령 발표 이후 SBOM 적용 범주 정의, 연방기관 조달 담당자를 위한 가이드 배포 등 SBOM 정책 동향을 발표하면서, - ▲ 글로벌 SW공급망 대응 체계 구축, ▲ 국내 기업의 SBOM 경쟁력 강화 지원, ▲ SBOM 국내 SW시장 도입 및 정착 지원 측면에서 정부의 역할이 필요하다고 강조하였다. ㅇ LG전자 김경애 파트장은 SW 관련 보안 이슈가 발생할 경우 NVD와 같은 데이터베이스에 등록해 이를 담당자에게 알려주는 것이 중요하며, 자체 개발한 공개SW 컴플라이언스 시스템인 포스라이트(FOSSLight)에서도 동기화를 통해 관리하고 있다고 언급하며 국내 SW기업에서의 SBOM 적용 유사 사례를 공유하였다. National Vulnerability Database: 보안취약점 관리 정보 데이터베이스, NIST에서 관리하는 美정부 저장소로 표준에 기반해 취약점 정보를 작성·등록 ㅇ 참가 기업들은 미국 행정명령 발표 이후 SBOM 관련 직접적인 피해는 발생하지 않았으나, 향후 도입이 본격화된다면 인센티브 제공과 모범사례 공유를 통해 SBOM에 대한 인식개선과 관련 정보 확산을 위한 지원을 요구하기로 했다. □ NIPA는 올해 과학기술정보통신부와 함께 SPRi, IITP, TTA, KISA, 한국SW산업협회, 공개SW협회 등 7개 기관으로 구성된 연구반 공동 운영을 시작으로, 글로벌 SBOM 정책 상황에 맞춰 국내 기업의 대응 방향을 모색하고 국내 SBOM 정책 수립을 위해 협력해 나갈 것이라고 밝혔다.
첨부파일	(220223) SBOM 전문가 세미나 개최_보도자료_v2(최종).hwp (파일크기: 247 KB ) SBOM 전문가 세미나 개최.JPG (파일크기: 4 MB )

이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

담당부서 : ESG혁신팀 구현도
전화번호 : 043-931-5211