소프트웨어는 더 이상 한 조직 안에서만 만들어지지 않습니다. 우리가 배포하는 제품의 상당 부분은 외부 오픈소스, 서드파티 라이브러리, 빌드·배포 자동화 도구, 클라우드 이미지로 이루어져 있습니다. 이 연결망이 바로 소프트웨어 공급망이고, 공격자들은 이 연결 지점의 패키지 저장소, 빌드 서버, 서명 키, 개발자 계정을 노려 제품 안으로 침입합니다.
이러한 때에 정부 조달 분야와 산업 전반에서 SBOM(Software Bill of Materials) 같은 공급망의 투명성을 제공하는 장치가 기본적인 요구사항으로 자리잡아 가고 있습니다. 미국 행정명령(EO) 14028은 SBOM을 “구성요소와 공급망 관계의 공식 기록”으로 정의하며 연방 조달에서의 중요성을 명확히 했고, NIST SSDF(SP 800‑218)는 공급망 위협을 줄이기 위한 개발·검증 활동을 체계로 제시합니다. 이런 흐름은 더는 ‘선택’이 아니라 납품·조달·감사 대응을 위한 필수 사항이 되었습니다.
오픈소스 보안 표준 ISO/IEC 18974(OpenChain Security Assurance)는 SBOM과 취약점 대응을 중심으로 4개 영역·35개 요구사항을 정의하여 제품 릴리스 전후 보안 리스크를 체계적으로 관리하도록 안내합니다.
왜 지금 ISO/IEC 18974인가?
오픈소스를 활용하는 기업은 라이선스·보안 리스크를 동시에 관리해야 합니다. ISO/IEC 18974는 오픈소스 보안 보증을 위한 사실상 산업 표준으로 2023년 12월 정식 ISO로 발표되었고, 소프트웨어 공급망 전반의 보안 활동을 요구사항으로 구체화합니다. ISO/IEC 5230(컴플라이언스) 와 상호 보완되어 함께 적용하면 가장 견고한 거버넌스를 만들 수 있습니다.
보안 보증(Security assurance)과 SBOM
SBOM(Software Bill of Materials) 내 취약점 관리 절차는 소프트웨어 구성요소의 안전성과 보안을 확보하는 데 필수적인 과정입니다. SBOM은 소프트웨어의 구성 요소, 즉 라이브러리와 프레임워크의 목록과 관련 정보를 문서화한 것으로, 이를 통해 각 구성 요소의 출처와 버전, 라이선스 정보를 파악할 수 있습니다. SBOM 내 CVSS는 취약점의 심각도를 정량적으로 평가하는데 사용되며, SBOM과 결합하여 보안 관리의 효율성을 높일 수 있습니다.
<오픈소스 및 SBOM 관리 프로세스 예시>
CVSS를 활용한 취약점 관리 절차는 이러한 구성 요소의 보안 상태를 지속적으로 모니터링하고, 취약점을 신속하게 식별할 수 있는 체계를 마련합니다. 또한 CVSS는 취약점 점수를 통해 심각도를 정량적으로 평가하는 기준을 제공할 수 있으며, 이를 바탕으로 조직은 자원을 효율적으로 배분하고, 필요한 보안 조치를 우선적으로 시행할 수 있습니다. 공급된 소프트웨어의 소프트웨어 자재 목록에 포함될 각 오픈소스 소프트웨어 구성 요소에 일부 보안 보증 활동이 적용되도록 하는 프로세스가 있어야 합니다.
< 오픈소스 신규 취약점 대응 프로세스 예시 >
공급망 보안은 개별 제품의 기능 경쟁을 넘어 시장 진입과 신뢰의 조건이 되었습니다. ISO/IEC 18974는 요구사항 목록이 아니라, 조직이 반복해서 해낼 수 있는 방법을 정의한 표준입니다. SBOM·프로비넌스·서명·우선순위 패치 같은 최신 기술을 운영 프로세스에 반영하여, 어떤 위기에도 흔들리지 않는 견고한 시스템을 갖출 필요가 있는 지금 ISO/IEC 18974가 필요한 이유입니다.
