SBOM은 공급망을 따라 전달돼야 가치가 생기지만, 동시에 영업 비밀과 공격 표면을 담은 민감 자료이기도 합니다. 누구에게 무엇을 어떻게 공유할지를 정하는 거버넌스가 없으면, 과도한 공개로 위험을 키우거나 과도한 폐쇄로 가치를 잃습니다.
접근 통제와 공개 범위
SBOM 데이터에 대한 접근은 역할 기반 접근 통제(Role-Based Access Control, RBAC)로 관리합니다. 이해관계자별로 접근 요구가 다르므로, 일반 사용자에게는 읽기 전용을, 관리자에게는 편집과 갱신을, 민감 정보에는 제한된 접근을 부여합니다.
공개 범위는 두 버전을 유지하는 방식이 일반적입니다.
- 공개 SBOM: 모든 이해관계자와 공유 가능한 비민감 정보를 담습니다.
- 비공개 SBOM: 취약점 같은 민감 정보를 담으며 승인된 당사자만 접근합니다.
규제도 이 구분을 반영합니다. EU 사이버 복원력법은 SBOM을 일반 공중에 공개할 의무를 두지 않고, 시장 감시 당국의 요청에 대비해 보관하도록 합니다. 소비자는 더 완전한 SBOM을 원하고 생산자는 공개를 줄이려는 긴장 속에서, 공개·비공개 분리는 양쪽을 절충하는 실무 장치입니다.
안전한 공유 채널
SBOM을 전달할 때는 무결성과 기밀성을 함께 지켜야 합니다.
- 전송 시 HTTPS 같은 보안 프로토콜을 쓰고, 디지털 서명이나 암호화로 무결성과 기밀성을 보장합니다.
- 접근 통제와 감사 기능을 갖춘 공유 플랫폼을 사용합니다.
- 시스템 간 자동 교환이 필요하면 API 연동을, 산업·커뮤니티 단위 공유에는 전용 저장소를 활용합니다.
문서에는 디지털 서명을 붙여 수신자가 진위와 변조 여부를 확인할 수 있게 하고, 어떤 정보를 공개·비공개로 둘지를 명확히 표시합니다.
역할과 책임
SBOM 프로그램은 여러 부서가 함께 책임지는 구조라야 작동합니다. 관리 후원자, 프로젝트 리더, 시스템·설계 엔지니어, 조달 전문가, 운영 담당자를 포함하고, 보안 요구에 따라 IT와 사이버보안, 유지보수 인력을 더합니다. 역할이 흩어지면 책임도 흩어지므로, 명확한 소유권을 정하는 것이 출발점입니다.
거버넌스 구축에서 핵심 활동은 다음과 같습니다.
- 주요 이해관계자 식별: 개발, IT 운영, 보안, 조달, 법무, 비즈니스 리더십의 대표를 포함하고 사이버보안 전문가를 반드시 넣습니다.
- 책임 정의와 소유권 부여: SBOM 생성과 소비, 취약점 모니터링, 공급사 참여, 보안 데이터 관리를 누가 맡을지 정하고, 사이버보안 전문가를 프로그램 소유자 또는 공동 소유자로 지정합니다.
- 거버넌스 체계 수립: 조직 전반의 이해관계자가 참여하는 거버넌스 기구가 정책과 표준, 프로세스를 개발하고 데이터 보호 통제를 구현합니다.
- 교육과 모니터링: SBOM 보안 요구와 안전한 데이터 처리를 교육하고, 정기 감사로 프로그램의 보안 태세를 지속적으로 평가하며 진화하는 위협과 컴플라이언스 요구에 맞춰 조정합니다.
출처
CISA (2024). Framing Software Component Transparency, Third Edition. CERT-In. Technical Guidelines on Software Bill of Materials (SBOM). Regulation (EU) 2024/2847 — Cyber Resilience Act, Annex I Part II. (모두 접속: 2026-06-14)