와이즈컴퍼니는 다수의 업체의 미국 FDA 사이버보안 지도를 성공적으로 진행 혹은 완료하였으며, 이와 관련 아래 지도 서비스를 제공 드리고 있습니다.
대상
지도 항목
다음 기준 중 하나라도 충족하는 의료기기
✔ 다른 장치/시스템과 통신할 수 있는 경우
✔ 네트워크/서버 연결이 있는 경우
✔ 무선 통신 형태를 사용하는 경우
(블루투스, Wi-Fi 등)
✔ USB 포트와 같은 접근을 허용하는 경우
✔ 소프트웨어/펌웨어 다운로드를 허용하는 경우
✔ 클라우드 저장 혹은
기타 서비스를 사용하는 경우
✅ 사이버보안 시험
✔ Vulnerability Assessment
✔ Penetration Testing
✅ 사이버보안 문서화
✔ Risk Management
✔ Assessment of Unresolved Anomalies
✔ Cybersecurity Metrics
✔ Cybersecurity Controls
✔ Cybersecurity Labeling
✔ Cybersecurity Management Plan
✔ Interoperability (필요 시)
오늘은 사이버보안에서 필수적으로 관리해야 할 SBOM (Software Bill of Materials)의에 대해 알아보겠습니다.
SBOM은 소프트웨어 자재 명세서라고 하며, 미국 국가통신정보청(National Telecommunications and Information Administration, NTIA)에 따르면, 소프트웨어 개발에 사용되는 구성 요소와 해당 소프트웨어 공급망 관계를 기록한 공식적인 문서입니다.
최근 사이버보안 업계에서는 솔라윈즈 사건과 Log4j 취약점 사건과 같은 일련의 보안 사고가 발생하면서, 오픈 소스 소프트웨어를 비롯한 소프트웨어 구성 요소 관리의 중요성이 대두되었습니다.
특히, 많은 소프트웨어가 다양한 외부 라이브러리와 오픈 소스 구성 요소에 의존하고 있어 이러한 구성 요소를 효과적으로 관리할 필요성이 커졌습니다. 이를 위해 개발된 보안 도구가 바로 SBOM입니다.
NTIA는 2021년 7월에 SBOM이 갖춰야 할 최소 구성 요소를 발표했습니다.
이 최소 구성 요소는 데이터 필드, 자동화 지원, 관행 및 절차의 세 가지 범주로 나뉘며, 각 범주는 소프트웨어 보안 관리를 강화하기 위한 구체적인 기준을 제시하고 있습니다.
이제 이 세 가지 구성 요소를 하나씩 살펴보겠습니다.
| 데이터 필드
- 데이터 필드는 SBOM에 필수적으로 포함되어야 하는 정보들을 정의합니다.
각 소프트웨어 구성 요소와 관련된 상세 정보를 기록하여, 추후 소프트웨어의 출처와 구성 요소에 대한 명확한 이해를 돕습니다.
SBOM의 데이터 필드에 포함되어야 할 주요 정보는 다음과 같습니다:
✅ 생산자 혹은 제공자: 소프트웨어나 라이브러리의 원 제작자
✅ 소프트웨어 컴포넌트 이름: 특정 구성 요소의 공식적인 명칭
✅ 버전 정보: 해당 소프트웨어 컴포넌트의 버전 정보
✅ 고유 식별자: 각 구성 요소를 식별할 수 있는 고유한 ID (예: CPE(Common Platform Enumeration),
PURL(Package URL) 등)
✅ 종속성 관계: 각 구성 요소가 다른 구성 요소와 어떤 종속성을 가지는지에 대한 정보
✅ 작성자 정보: 구성 요소를 작성한 개발자나 팀에 대한 정보
✅ 생성 및 업데이트 날짜: 소프트웨어 구성 요소의 생성 혹은 최신 업데이트 날짜
| 자동화 지원
- SBOM은 자동화된 도구를 활용해 생성하고 유지하는 것이 필수적입니다. 이를 통해 정확도를 높이고 수작업으로 인한 오류를 방지할 수 있습니다. 또한 RDFa, .xlsx, .spdx, .xml, .json, .yaml 등의 표준화된 데이터 포맷을 적용해야 합니다.
- SPDX, CycloneDX, SWID 등의 표준이 있으며, 사용하고자 하는 표준의 형식을 따라야 합니다.
| 관행 및 절차
- 이 파트에서는 SBOM을 언제, 어떻게 업데이트하고 제공할지에 대한 표준을 제시합니다.
이 표준에는 배포 및 공유 방법, 권한 관리, 종속성에 관한 정보 등을 포함해야 합니다.
이상으로 SBOM과 최소 구성 요소에 대하여 알아보았습니다.
최근 들어 소프트웨어의 보안이 기업의 신뢰와 직결되면서, SBOM은 필수적인 보안 도구로 자리 잡고 있습니다. SBOM을 통해 우리는 소프트웨어 공급망을 더욱 체계적으로 관리하고, 잠재적 보안 위협에 신속히 대응할 수 있게 됩니다.
