- 소프트웨어 부품명세서(SBOM)로 사이버 보안 강화

 

소프트웨어 검증 전문기업 코드마인드는 오픈소스 관리 도구 해터 SCA(Hatter Software Composition Analysis)를 출시했다고 25일 밝혔다.

 

해터 SCA는 개발한 소프트웨어의 구성요소를 식별하고 소스코드와 바이너리 파일에 포함된 오픈소스 소프트웨어를 파악해 오픈소스의 보안취약점을 검출하고, 관련 라이선스 정보를 함께 제공하여 사용자가 라이선스 정책 위반 여부를 쉽게 확인할 수 있게 해준다.

 

또한, 검출한 모든 정보를 SBOM(소프트웨어 부품명세서)과 함께 상세히 제공하여 오픈소스소프트웨어 공급망을 강화하고 오픈소스 사용에 따른 리스크를 안전하게 관리할 수 있도록 도와준다.

 

정보통신산업진흥원이 발간한 ‘2021 오픈소스 소프트웨어 실태조사 보고서’에 따르면 오픈소스를 활용한 소프트웨어 개발이 보편화되면서 개발 과정에서 오픈소스를 사용하는 비율이 60%를 넘어섰으며, 오픈소스를 사용하면 개발에 소요되는 시간과 비용을 줄일 수 있다.

 

오픈소스는 상용 소프트웨어와 달리 공개된 소스코드가 기반이기 때문에 취약점 노출 위험도 높으며, 라이선스 관리를 꾸준히 주기적으로 하지 않으면 오픈소스 라이선스 위반으로 인한 법적 분쟁까지 발생할 수도 있다. 이러한 점을 감안하면, 오프소스 활용에 따른 보안 위협과 라이선스 위반과 같은 리스크를 줄여줄 수 있는 솔루션 도입이 필요하다.

 

해터 SCA는 이러한 문제를 사전에 방지하고 대응할 수 있도록 도와주는 오픈소스 관리 도구로, 오픈소스를 사용하는 기업이나 기관의 입장에서는 현재 사용 중인 오픈소스를 보다 안전하고 효율적으로 관리하는데 유용하다.

 

2020년 이후 ‘Apache Log4j’ 같은 각종 대규모 사이버 위협이 심심치 않게 발생하고 있다.미국 바이든 행정부는 2021년 발표한 행정명령에 따라 소프트웨어 자재 명세서(SBOM) 제출을 의무화했으며, 이에 따라 국내에서도 SBOM을 요구하는 기업과 기관이 늘어나는 추세이다.

 

코드마인드 신승철 대표는 “소스코드 및 바이너리 분석 기술을 활용하여 개발된 해터 SCA가 앞으로 오픈소스 보안 위협을 방지하고 국내 사이버보안 역량을 강화하는데 큰 도움이 될 것”이라고 밝혔다.

 

#코드마인드#소스코드#바이너리#해터#SCA