공급망 보안 솔루션 스타트업 소프트버스(대표 이만희)는 한남대학교 컴퓨터공학과 이만희 교수 연구팀과 운영체제(OS)의 공급망 보안 안정성을 위해 운영체제에 대한 소프트웨어 명세서인 SBOM (Software Bill of Materials)을 생성하는 연구를 성공적으로 수행했다고 20일 밝혔다.
식당에 음식의 원재료 및 원산지를 안내하듯 SBOM은 소프트웨어를 이루는 모든 구성 요소를 공급망 관계도와 함께 하나의 체계화된 문서로 기록해 구매자에게 제공할 수 있도록 고안된 명세서다.
조 바이든 미국 정부는 2021년 대통령 행정 명령(14028)을 통해 미 연방정부의 주요 소프트웨어에 SBOM 제출을 단계적으로 의무화하겠다고 발표했다. 전 세계적으로 증가하는 소프트웨어 공급망 공격에 대응하기 위해서다. 이런 세계적인 흐름에 맞춰 국내에서도 공급망 보안 관련 요구사항에 대한 정책적 이슈 대응이 필요해졌으며, 국내 국가·공공 기관의 소프트웨어 공급망 보안 관리 체계 구축도 중요해졌다.
소프트버스와 이만희 교수 연구팀은 운영체제 공급망 보안 강화를 위해 구름OS SBOM을 연구했다. 구름OS는 국가보안기술연구소가 개발한 개방형 OS로 보안성이 강화된 단말 운영체제다. 구름OS는 현재 행정안전부 온북의 운영체제로 활용되는 등 다양한 형태로 확산되고 있어 구름OS SBOM 개발은 국가·공공 기관 업무 환경의 공급망 보안 관리 측면에서 가치가 높다고 할 수 있다.
소프트버스와 이만희 교수 연구팀은 운영체제의 설치 이미지 파일 분석을 통해 구름OS 대한 SBOM 생성에 성공했으며, 국제 SBOM 표준을 바탕으로 개발, 연구 결과에 대한 효용성이 더욱 높이 평가되고 있다. 특히 관련 업계에서는 세계 첫 운영체제 SBOM으로 평가받고 있다.
개발된 구름OS에 대한 SBOM은 운영체제 개발 과정에서 포함되는 다양한 소프트웨어 구성 요소에 대한 정보를 식별하고, 해당 구성요소의 출처를 명확히 확인할 수 있는 장점이 있다. 이를 통해 최근 크게 이슈가 된 보안 취약점인 Log4Shell (CVE-2021-44228)과 같은 취약점이 발견되는 경우 SBOM을 통해 해당 취약점 영향 여부를 즉시 파악할 수 있으며, 개발 및 도입 과정에서 포함된 소프트웨어 취약점을 손쉽게 식별할 수 있어 그 활용도가 매우 높다.
이번 연구 결과는 오픈소스로 개발된 운영체제의 구성 요소 SBOM과 개발에 사용된 소스 코드 파일의 SBOM을 통합적으로 생성·관리하는 등 국내 공급망 보안을 위한 핵심 기술로 자리매김하면서 앞으로 소프트웨어 공급망 관리 체계 개발에 크게 이바지할 수 있을 것으로 기대된다.
소프트버스와 이만희 교수 연구팀은 향후 추가적인 연구 개발을 통해 운영체제뿐만 아니라 일반적인 소프트웨어에 대한 SBOM 생성 기술 및 검증 체계를 개발할 예정이다. 현재는 소프트웨어 공급망 보안 위협을 실시간으로 모니터링할 수 있는 핵심 기술 개발에 매진하고 있다.
이만희 교수는 “국내 공급망 보안의 초석인 구름OS에 대한 SBOM 생성 연구가 성공적으로 수행해 매우 기쁘다”며 “앞으로 지속적인 관련 연구 개발을 통해 구름OS와 함께 국내 소프트웨어 공급망 보안 안전성 향상에 기여할 수 있도록 할 계획”이라고 말했다.
한편 소프트버스는 2021년 12월에 설립한 공급망 보안 솔루션 기업으로, 현재 소프트웨어 공급망 보안 솔루션 및 관련 기술 개발을 필두로 보안과 관련된 다양한 연구 개발을 수행하고 있다. 현재 소프트웨어 공급망 보안 위협을 실시간으로 식별할 수 있는 솔루션 출시를 앞두고 있다.