【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]"글로벌 기준 맞추려면 SBOM은 필수… 운영 체계 전환이 핵심"

온카뱅크관리자

2026-04-27 11:27:37

<div id="layerTranslateNotice" style="display:none;"></div> [인터뷰] 강병탁 AI스페라 대표 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="q8PG84vmhP">
 <figure class="figure_frm origin_fig" contents-hash="97e2276a3360621e1f31b69cae0caea816b37a1ff4cea1f199e014378e652a18" dmcf-pid="B6QH68Tsv6" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/27/552796-pzfp7fF/20260427111921881qbxw.jpg" data-org-width="640" dmcf-mid="zGZaHGiPlQ" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/27/552796-pzfp7fF/20260427111921881qbxw.jpg" width="658">
 </figure>
 [디지털데일리 김보민기자] 최근 미국과 유럽연합(EU)을 중심으로 소프트웨어(SW) 공급망 규제가 강화되고 있다. 해외 시장을 겨냥하는 국내 기업에게 소프트웨어자재명세서(SBOM) 기반 보안 체계가 선택이 아닌 필수로 떠오른 이유다. 그러나 글로벌 수준에 부합하는 SBOM 보안을 구축하는 데 어려움이 커지고 있다는 목소리도 늘어나고 있다.
 강병탁 AI스페라 대표는 '운영 체계' 관점으로 접근하는 것이 시작이라고 제언한다. 단순히 취약점을 점검하는 수준을 넘어, 이를 운영 단계로 끌어올리는 체계 구축이 필요하다는 취지다. &lt;디지털데일리&gt;는 AI스페라가 한국인터넷진흥원(KISA) 지원사업을 통해 SBOM 체계를 구축하며 겪은 실무 경험과 업계 현황, 정책적 시사점을 들어봤다.
 Q. 최근 SW 공급망 보안, 특히 SBOM이 주목받는 배경은 무엇인가?
 A. 최근 변화 핵심은 기술이 아니라 시장 기준이 바뀌고 있다는 점이다. 과거에는 보안 솔루션을 평가할 때 기능이나 탐지 성능이 주요 기준이었다면, 지금은 해당 소프트웨어가 어떤 구성 요소로 만들어졌고 이를 어떻게 관리하고 있는지가 중요한 평가 요소로 자리 잡고 있다. 
 특히 해외 공공 조달이나 글로벌 기업과의 계약에서는 SBOM을 포함한 공급망 보안 체계가 사실상 기본 요건으로 작동하는 경우가 늘고 있다. 일정 수준 이상 투명성을 확보하지 못하면 제품 경쟁력과 무관하게 검토 대상에서 제외되는 구조다. 결국 SBOM은 보안을 강화하기 위한 선택적 요소가 아니라, 시장에 진입하기 위한 전제 조건으로 성격이 바뀌고 있다고 보는 것이 맞다.
 Q. 국내 기업 공급망 보안 대응 수준은 어떻게 평가하나?
 A. 국내에서도 공급망 보안에 대한 문제 인식 자체는 빠르게 확산되고 있다. 대기업이나 금융권을 중심으로 SBOM이나 오픈소스 관리 체계를 검토하는 움직임은 분명히 이전보다 활발해졌다. 다만 실행 단계로 넘어가면 상황은 다소 다르다. 일부 기업은 SCA 도구를 도입해 취약점 점검을 수행하고 있지만, 이를 개발·배포 프로세스까지 연결해 운영 체계로 정착시킨 사례는 많지 않다. 
 공급망 보안은 특정 솔루션을 도입한다고 해결되는 문제가 아니라, 개발 방식과 운영 프로세스를 함께 바꿔야 하는 영역이다. 이 과정에서 필요한 인력, 시간, 비용 부담이 크기 때문에 실제 내재화까지 이어지는 경우는 제한적인 상황이다.
 Q. AI스페라는 SBOM 기반 운영 모델 구축을 추진했다. 기존 접근과 무엇이 다른가?
 A. 이번 사업에서 초점을 둔 부분은 SBOM을 '산출물'이 아니라 '운영 체계'로 전환하는 것이었다. 단순히 SBOM을 생성하는 데 그치는 것이 아니라, 개발부터 배포까지 전체 프로세스 안에서 지속적으로 관리되는 구조를 만드는 데 집중했다. 이를 위해 빌드 파이프라인에 오픈소스 분석 기능을 연계하고, 구성 요소 변경 시 자동으로 SBOM이 갱신되도록 설계했다. 
 동시에 취약점 관리 체계와 연결해 특정 이슈가 발생했을 때 영향을 받는 범위와 대응 상태를 빠르게 확인할 수 있도록 했다. 현재도 모든 빌드 과정에 해당 프로세스가 반영되어, 오픈소스 취약점을 점검·조치한 뒤 서비스에 반영되는 구조로 운영되고 있다.
 프로젝트 진행 중 실질적으로 필요했던 것은 SCA 도구 연계, SBOM 생성 자동화, 표준 포맷 정합성 검토 등 기술적인 부분에 대한 가이드와 실무 중심 자문이었는데, 사업을 통하여 KISA 에게 많은 도움을 받을 수 있었으며 이를 바탕으로 내부 빌드 프로세스를 구조적으로 정비할 수 있었다. SBOM을 단순 산출물이 아니라 지속 운영 체계로 정착시키는 과정에서 필요한 절차 정립과 검증을 KISA와 같은 전문기관과 함께 진행했다는 점이 완성도를 높이는 데 큰 도움이 됐다.
 또한 SBOM을 표준 포맷 기반으로 생성·관리하고, 버전별 이력을 체계적으로 유지하는 상호 운용 체계도 함께 마련했다. 이를 통해 고객이나 파트너가 요구할 경우 즉시 제공할 수 있는 구조를 갖추게 됐다. 결과적으로 SBOM은 문서가 아니라, 실제 운영과 의사결정에 활용되는 데이터로 기능하게 됐다.
 Q. SBOM 도입 과정에서 가장 큰 어려움은 무엇이었나?
 A. 기술적인 구현 자체보다 내부 조직을 정렬하는 과정이 더 큰 과제였다. SBOM은 보안팀만의 역할로 끝나는 것이 아니라 개발, DevOps, 운영 조직이 모두 관여해야 하는 영역이다. 특히 기존 개발 및 배포 프로세스를 변경해야 하기 때문에 초기에는 내부 공감대를 형성하는 데 시간이 필요했다.
 AI스페라는 경영진이 모두 보안 출신이라 '왜 해야 하는가'에 대한 설득 과정이 필요 없었고, 비교적 빠르게 방향성을 정리할 수 있었다. 하지만 일반 기업의 경우 경영진 공감대 형성부터 쉽지 않은 것이 현실이다. 보안 솔루션 하나를 도입하는 문제가 아니라 조직 구조와 개발 문화를 함께 손봐야 하는 작업이기 때문이다.
 공급망 보안은 특정 솔루션 도입만으로 해결되는 영역이 아니라 조직과 개발 프로세스를 함께 정렬해야 하는 구조적 과제다. 이번 사업은 이러한 구조를 실제 기업 환경에 맞게 적용하고 검증하는 기회로 작용했다. 특히 SBOM 체계를 기술 도입 수준에서 끝내는 것이 아니라, 운영 모델로 정리하고 내부 정책과 프로세스에 반영하는 데 있어 기준을 명확히 할 수 있었다. 또한 글로벌 규제 동향과 요구사항을 실제 적용 관점에서 점검하면서, 해외 고객 대응을 위한 준비 수준을 높일 수 있었다.
 Q. SBOM이 실제 비즈니스 측면에서 갖는 의미는 무엇인가?
 A. SBOM은 단순한 보안 관리 도구를 넘어, 신뢰를 증명하는 수단으로 작동한다. 특히 글로벌 고객이나 공공기관과 협력하는 과정에서는 '어떤 구성 요소를 사용하고 있고, 이를 어떻게 관리하고 있는지'를 설명할 수 있는지가 중요한 요소가 된다.
 앞서 언급한 표준 포맷 기반 SBOM 상호 운용 체계를 구축한 이후에는, 고객이나 파트너가 요구할 경우 즉시 대응할 수 있는 구조가 실제 비즈니스에서 작동하고 있다. 내부적으로도 개발·보안·운영 조직 간 동일한 기준으로 구성 요소를 관리하게 되면서, 특정 취약점 이슈 발생 시 영향 범위를 신속하게 파악할 수 있게 됐다. 
 이 과정에서 SBOM은 단순 참고 자료가 아니라, 계약이나 협의 과정에서 활용되는 핵심 근거 자료로 기능한다. 즉, 공급망 보안 체계를 얼마나 갖추고 있는지가 기업 신뢰 수준과 직결되는 요소로 작용하고 있다.
 Q. 공급망 보안 확산을 위해 정부나 보안당국에 바라는 점은?
 A. 공급망 보안 내재화는 대기업도 부담이 큰 과제인데, 중소기업 입장에서는 현실적으로 진입 장벽이 높은 영역이다. 이런 점에서 현재 제공되고 있는 가이드라인과 지원 체계는 현장에서 상당히 의미 있게 작용하고 있다. 특히 이번 KISA 사업과 같이 기술 지원과 운영 모델 설계를 함께 지원하는 구조는 기업 입장에서 실질적인 효과가 있었다. 이러한 지원 방식이 더 많은 기업으로 확산된다면 공급망 보안 저변도 빠르게 확대될 수 있을 것으로 본다.
 향후에는 SBOM 관련 기술 표준과 운영 기준이 보다 명확해지고, 기업들이 참고할 수 있는 공통된 기준이 정립되면 산업 전반 적용 속도가 더욱 빨라질 것으로 기대한다. 또한 단기 지원을 넘어 지속적으로 운영 체계를 고도화할 수 있는 연계 프로그램이 마련된다면, 기업들이 보다 안정적으로 공급망 보안을 정착시킬 수 있을 것이다.
 Q. 향후 공급망 보안 시장은 어떻게 전개될 것으로 보나?
 A. 공급망 보안은 단기적인 이슈가 아니라, 장기적으로 기업 운영 전반에 영향을 미치는 기준으로 자리 잡을 가능성이 높다. 특히 글로벌 규제가 구체화되면서 SBOM 제출, 관리, 갱신에 대한 요구는 점점 더 명확해질 것으로 보인다. 이 과정에서 단순히 대응하는 수준을 넘어, 이를 운영 체계로 내재화한 기업과 그렇지 않은 기업 간 격차도 점차 벌어질 것으로 예상된다. 
 AI스페라는 크리미널IP(Criminal IP)를 중심으로 공격 표면 관리(ASM)와 위협 인텔리전스(CTI)를 고도화하고, SBOM 기반 공급망 보안 체계를 제품 경쟁력과 연결하는 방향으로 확장해 나갈 계획이다. 결국 공급망 보안은 비용 요소가 아니라 경쟁력을 좌우하는 요소로 인식이 전환될 가능성이 크다고 생각한다.
 </section> 
 </div> 
 Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기