NEWSkillSec — AI Skill 보안을 '악성코드 탐지'에서 '능력 감사'로SkillSec자세히 보기 →
기술 해설

SBOM 완전 가이드: 포맷, 규제, 그리고 도입 로드맵

Sectrend 리서치·2026.06.21·4 분 분량

SBOM(Software Bill of Materials, 소프트웨어 자재명세서)은 소프트웨어의 '성분표'다. 제품이 어떤 컴포넌트로 구성되고, 각각 어떤 버전이며, 어디서 왔고, 어떤 라이선스로 배포되는지를 나열한다. Log4Shell(CVE-2021-44228)이 터진 밤, SBOM이 있던 조직은 '우리가 어디서 log4j를 쓰지?'에 쿼리 한 번으로 답했고, 없던 조직은 2주간의 인해전술로 답했다. 이것이 SBOM 가치의 한 줄 요약이다.

세 가지 표준 포맷, 어떻게 고르나

  • SPDX —— Linux Foundation 주도, ISO/IEC 5962로 국제 표준화 완료. 라이선스·컴플라이언스 표현력이 가장 풍부해 오픈소스 컴플라이언스 업무의 사실상 표준.
  • CycloneDX —— OWASP 출신, 2024년 Ecma 국제 표준화. 보안 지향 설계로 VEX를 네이티브 지원하며 DevSecOps 툴체인 통합이 가장 넓다.
  • SWID —— ISO/IEC 19770-2 소프트웨어 식별 태그. 주로 자산 관리용이며 신규 프로그램의 1순위가 되는 경우는 드물다.

실무 조언: 도구는 SPDX와 CycloneDX 둘 다 내보낼 수 있어야 한다. 고객과 규제마다 지명하는 포맷이 다르고, 포맷 논쟁에 편들 가치는 없다. 내용 면에서는 NTIA의 최소 7요소——공급자, 컴포넌트명, 버전, 고유 식별자, 의존 관계, SBOM 작성자, 타임스탬프——를 기본으로 커버하라.

전 세계 규제가 SBOM을 요구하고 있다

미국: 행정명령 14028(2021)이 연방 조달에 SBOM을 도입했고, FDA는 2023년부터 SBOM 없는 통신 기능 의료기기의 시판 전 신청을 접수하지 않는다. EU: CRA가 기계 판독 가능 SBOM을 법정 의무로 만들었고 2027년 말 전면 적용된다——CRA 타임라인 참고. 중국: 인민은행 등 5개 당국이 금융기관에 오픈소스 사용 현황 파악을 요구(2021)했고, CAICT 주도의 SBOM 표준·파일럿이 진행 중이며, 자동차·의료 조달 계약에는 SBOM 조항이 이미 일상이 됐다.

4단계 도입 경로

1단계: 생성. SCA 도구로 코드와 산출물에서 SBOM을 자동 생성한다. 핵심 의사결정은 탐지 깊이——매니페스트 수준인가 스니펫 수준인가에 따라 SBOM이 '선언된 구성'을 기록하는지 '실제 구성'을 기록하는지가 갈린다. 두 방식의 비교를 참고하라. 소스 없는 외부 납품물과 펌웨어는 바이너리 성분 분석으로 메운다.

2단계: 보강. 맨몸의 인벤토리는 가치가 제한적이다. 컴포넌트를 취약점 인텔리전스(CVE/CNVD/CNNVD/EUVD)와 라이선스 의무에 연결하고, '존재하지만 악용 불가'를 VEX로 표시하라. 문서가 의사결정 입력으로 바뀌는 순간이다.

3단계: 납품. 고객·규제가 지명한 포맷으로 내보내고 서명하며, 릴리스마다 SBOM 스냅숏을 보관한다.

4단계: 운영. SBOM은 살아 있는 문서다. 새 취약점이 공개될 때 '우리는 영향을 받는가'에 대한 답은 분 단위 쿼리여야지 태스크포스의 일이 아니다. 이 단계야말로 CleanSource SCA 같은 플랫폼과 일회성 생성 스크립트를 가르는 경계선이다.

SBOM 품질은 어떻게 판별하나

포맷이 같아도 실속은 자릿수로 다르다. 측정 가능한 세 기준——커버리지 깊이(직접 의존성만인가 전이 의존성까지인가. 정적 링크, vendored 코드, 복사된 스니펫이 보이는가. 매니페스트 기반 SBOM은 '선언된 구성'의 기록이며 실제와 크게 어긋날 수 있다), 정확도(이름·버전 오류는 하류에서 증폭된다. 버전 한 자리가 틀리면 취약점 매핑 전체가 왜곡된다), 신선도(빌드마다 재생성되는가. 낡은 목록은 진실이 필요한 순간에 오히려 거짓 안심을 제조한다).

그리고 VEX와 짝을 이뤄라. SBOM은 '어떤 컴포넌트가 있는가'에 답하고 VEX는 '그중 어떤 취약점이 실제로 악용 가능한가'에 답한다——not_affected, affected, fixed, under_investigation. VEX 없이 SBOM만 납품하는 것은 수천 건의 CVE 판정 작업을 고객에게 그대로 떠넘기는 일이다.

마지막 세 가지 당부. 최상위 정확도보다 최대 깊이를 먼저 좇지 말 것. SBOM을 수작업으로 유지하지 말 것——그 유통기한은 주 단위로 끝난다. 그리고 규제가 코앞에 올 때까지 기다리지 말 것——체계를 세우는 데 드는 시간은 컴플라이언스 마감이 주는 시간보다 길다.

SBOM소프트웨어 자재명세서SPDXCycloneDX오픈소스 컴플라이언스

관련 글

딥다이브

SBOM은 컴플라이언스 체크리스트 그 이상이다

많은 팀이 SBOM을 '제출할 서류'로 취급한다. 하지만 가치 있는 SBOM은 의사결정을 이끈다——어떤 취약점이 악용 가능한지, 어떤 의존성을 먼저 고칠지, 어떤 라이선스가 리스크를 안고 있는지.