스패로우, 공급망 보안 워크숍서 ‘SBOM 유통 플랫폼’ 제시

스패로우는 24일부터 25일까지 서울 양재 aT센터에서 열린 ‘2026년도 공급망보안 워크숍’에 참가해 소프트웨어 공급망 보안을 위한 소프트웨어 자재명세서(SBOM) 운영·관리 전략을 발표했다고 26일 밝혔다.

SBOM은 소프트웨어를 구성하는 오픈소스와 상용 구성요소, 버전, 의존 관계 등을 기록한 목록이다. 기업은 SBOM을 활용해 사용하는 소프트웨어에 어떤 구성요소가 포함됐는지 파악하고 취약점 발생 시 영향 범위를 확인할 수 있다.

이번 행사는 한국정보보호학회가 주최하고 공급망보안연구회가 주관했다. 국내외 공급망 보안 정책과 기술 동향, 산업별 보안 강화 사례를 공유하기 위해 마련됐다.

윤종원 스패로우 최고기술책임자(CTO)는 25일 ‘소프트웨어 공급망 보안 솔루션’ 세션에서 ‘소프트웨어 공급망 보안을 위한 SBOM 유통 플랫폼’을 주제로 발표했다.

윤 CTO는 미국 행정명령 14028호와 유럽 사이버복원력법(CRA) 등 해외 공급망 보안 규제를 소개했다. 국내에서도 공급망 보안 제도 시행에 대비해 대응 체계를 마련해야 한다고 제안했다.

그는 공급망 보안이 단순히 SBOM을 생성하는 데 그쳐서는 안 된다고 설명했다. 생성과 보강, 증명, 공유, 검토, 관리로 이어지는 6단계 생애주기를 운영해야 공급망 보안과 규제 대응에 활용할 수 있다는 것이다.

윤 CTO는 “SBOM은 단순 생성에 그치지 않고 ‘생성, 보강, 증명, 공유, 검토, 관리’라는 6단계 생애주기를 거쳐야 실질적인 운영과 규제 대응의 실효성을 모두 확보할 수 있다”고 강조했다.

스패로우가 제시한 SBOM 유통 플랫폼은 소프트웨어 공급 조직과 수요 조직 사이의 SBOM 전달 경로를 관리한다. 공급 조직은 생성한 SBOM을 플랫폼에 올리고 디지털 서명을 추가할 수 있다. 수요 조직은 서명을 검증해 SBOM의 위·변조 여부를 확인한다.

플랫폼은 권한에 따라 SBOM 접근 범위를 설정하고 공유 이력을 관리한다. SBOM에 포함된 소프트웨어 구성요소에서 새로운 취약점이 발견되면 관련 정보를 지속해서 확인할 수 있도록 지원한다.

장일수 스패로우 대표는 “신뢰할 수 있는 소프트웨어 공급망 보안 체계를 구축하려면 SBOM 생성 이후의 안전한 유통과 지속적인 운영이 중요하다”며 “취약점 점검을 넘어 SBOM을 기반으로 공급망 전반의 구성요소와 위협을 관리할 수 있는 환경을 제공하겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network