SBOM 없이는 N2SF도 제로트러스트도 없다. by. 엘에스웨어 이광겸

 

N2SF·제로트러스트·AI 코딩 에이전트가 만난 2026년, 보안 담당자가 답해야 할 단 하나의 질문

 

한국 보안의 좌표가 바뀌었다

 

2026년 5월, 국가정보원이 19년간 유지해온 획일적 망분리 정책을 사실상 폐지하고 국가 망 보안체계(N2SF)를 본격 가동한다. 데이터 중요도(C/S/O)에 따른 차등 보안 시대의 개막이다. 같은 시기 한국의 개발 현장은 클로드 코드·커서·코파일럿 같은 AI 코딩 에이전트로 빠르게 재편되고 있다. 단순 자동완성을 넘어 에이전트가 스스로 패키지를 설치하고 빌드를 실행하는 단계다. 그리고 그 위에 제로트러스트가 새로운 보안 패러다임으로 자리 잡았다.

세 변화는 하나로 수렴한다. “경계는 사라지고, 검증만 남았다.” 그런데 무엇을 검증할 것인가? 사용자 신원·디바이스·트래픽은 이미 검증 체계가 있다. 그러나 가장 본질적인 검증 대상, 우리 시스템에서 돌아가는 소프트웨어의 무결성은 대부분의 조직에서 사각지대다. 보호하려면 알아야 한다. 우리는 시스템 안에 무엇이 들어있는지 정말 알고 있는가?

 

 

2026년 1분기, 가시성 부재가 만든 재앙들

 

3월 24일 LiteLLM 침해. 월 다운로드 9,500만 건, AI 애플리케이션의 LLM 게이트웨이 역할을 하는 프록시 라이브러리에 악성코드가 삽입됐다. 해킹 그룹 TeamPCP가 보안 스캐너 Trivy를 먼저 침해(3월 19일)하고, 버전 고정(version pinning) 없이 LiteLLM의 CI 파이프라인에서 실행되던 그 Trivy를 통해 PyPI 배포 자격증명을 탈취했다. 보안 스캐너가 공급망 공격의 진입점이 된 것이다. 악성 버전(1.82.7, 1.82.8)은 약 3~5시간 노출됐지만, 그 짧은 창에서 SSH 키·클라우드 자격증명·Kubernetes 시크릿이 광범위하게 유출됐고 영구 백도어까지 설치됐다.

3월 31일 axios 침해. 주간 1억 다운로드의 라이브러리 메인테이너 npm 계정이 소셜 엔지니어링과 RAT 악성코드로 탈취돼, 약 3시간 동안 크로스 플랫폼 RAT가 포함된 버전(1.14.1, 0.30.4)이 배포됐다. 핵심은 탐지 실패의 메커니즘이다. 전통적으로 npm install의 의심스러운 출력은 개발자의 눈이 잡아냈다. 그러나 AI 코딩 에이전트는 백그라운드에서 명령을 실행하므로 사람의 시야에 들어오지 않는다. 침해 윈도우 동안 자율 에이전트들이 RAT를 조용히 설치할 수 있는 구조적 조건이 만들어진 것이다.

1월 react-codeshift 슬롭스쿼팅. 존재하지 않는 npm 패키지 이름이 사람의 의도적 행위 없이 47개의 AI 생성 에이전트 스킬 파일을 통해 237개 저장소로 자동 전파됐다. 일본어로 번역돼 재유포되기까지 했다. 다행히 보안 연구자가 공격자보다 먼저 이름을 선점해 실제 악성 페이로드 전달은 발생하지 않았으나, 공격 경로가 실증된 사건이다. 누군가 공격자였다면 237개 환경이 일제히 감염됐을 것이다. 

이 사건들의 공통 메시지는 분명하다. AI가 만들고, AI가 퍼뜨리고, AI가 설치한다.

 

 

SBOM은 소프트웨어의 신분증이자 출생기록부다

 

여기서 보안 담당자가 받아들여야 할 패러다임 전환이 있다. SBOM(Software Bill of Materials)을 컴플라이언스 산출물이 아니라 모든 소프트웨어 컴포넌트의 신분증이자 출생기록부로 재정의하는 것이다. 신분증은 “이것이 무엇인가”(이름·버전·해시)를 증명하고, 출생기록부는 “누구로부터, 어디서, 어떤 빌드를 거쳐 태어났는가”(공급자·서명·계보)를 추적한다. 이름표 없는 군중을 두고 출입을 통제할 수 없는 것과 같은 이치다.

KISA 실증 데이터가 이를 뒷받침한다. 2025년 말 CVSS 10점 만점의 React 취약점 공개 시, SBOM 기반 체계를 갖춘 기업은 신규 취약점 탐지·대응에 평균 2일이 걸린 반면, 미구축 기업은 7일이 소요됐다. 차이는 효율이 아니라 비즈니스 연속성의 차이다.

 

 

 

N2SF·제로트러스트가 SBOM을 요구하는 이유

 

N2SF의 차등 통제는 무엇을 통제할지에 대한 식별이 먼저다. C/S/O 어느 등급이든 컴포넌트의 신분증과 출생기록부가 없으면 차등 통제는 공허한 분류 작업에 그친다. 역설적으로 등급이 낮아져 폐쇄망 보호를 잃은 시스템일수록 SBOM이 더 절실하다. 외부 연동이 늘수록 정확한 신분 정보 없이는 “지속적 검증” 원칙을 충족할 방법이 없기 때문이다.

제로트러스트도 같다. SBOM이 신분증으로서 “무엇으로 만들어졌는가”에 답하고, VEX가 “이 취약점이 우리 환경에서 실제 위험한가”에 답하며, Sigstore 서명이 출생기록부로서 “정말 우리가 만든 것인가”에 답한다. 이 세 질문에 답할 수 없는 조직의 제로트러스트는 알맹이 없는 슬로건이다.

 

 

보안 담당자를 위한 5가지 실행 항목

① SBOM 생성 자동화 — 빌드 파이프라인에 Black Duck Detect 통합. 단 2026년 3월 Trivy 침해를 교훈 삼아 스캐너 자체의 버전 고정과 SLSA Provenance 검증 필요.
② 중앙 식별 인벤토리 — 자산 SBOM 관리 포탈로 전사 SBOM 집결시켜 관리 필요. 분산된 SBOM은 가시성을 제공할 수 없음
③ N2SF·EU CRA 듀얼 트랙 — C/S/O 등급별 SBOM 운영 정책 수립. EU 진출 제품은 별도로 9월 11일 보고 의무 체계 정렬.
④ EPSS·VEX 트리아지 — CVSS 단독 우선순위 폐기. 실제 악용 확률(EPSS)과 환경 적용성(VEX) 결합.
⑤ AI 에이전트 거버넌스 — AI 생성 코드 SCA 의무 스캔, 자동 설치 권한 제한

 

 

 

이름 없는 컴포넌트는 검증할 수 없고, 보이지 않는 자산은 보호할 수 없다.

 

망분리가 가져다주던 물리적 안전망이 사라진 자리, AI 에이전트가 자율적으로 코드를 끌어들이는 시대, 모든 것을 검증해야 하는 제로트러스트의 요구. 세 변화는 결국 보안 담당자에게 동일한 질문을 던진다. "당신의 시스템 안에 무엇이 들어있는지, 당신은 알고 있는가?"

이 질문에 답할 수 없다면 N2SF가 가져다줄 자유도, AI 코딩이 가져다줄 속도 혁신도 안전하게 누릴 수 없다. 그리고 답을 미룰 시간도 더 이상 남지 않았다. EU CRA의 24시간 취약점 보고 의무가 9월 11일 발효되며(위반 시 최대 1,500만 유로 또는 글로벌 매출 2.5% 중 높은 금액의 과징금), 국내도 KISA의 「2026년 공급망 보안 모델 구축 지원사업」이 본격 가동에 들어갔다. 외부의 압박이 도착하기 전에, 내부의 가시성부터 갖춰야 하는 시점이다.

SBOM 기반 자산관리는 더 이상 컴플라이언스 체크박스가 아니라 조직 생존을 위한 가장 기본적인 위생 수칙이다. 이름 없는 컴포넌트는 검증할 수 없고, 보이지 않는 자산은 보호할 수 없다.

 

 

 

---