권장사항과 체크리스트
앞선 절의 핵심 권장사항을 모으고, SBOM 도입을 점검하는 체크리스트를 제공합니다.
Categories:
앞선 절에서 다룬 내용을 실무 권장사항과 점검표로 정리합니다. 처음 도입하는 조직은 체크리스트를 순서대로 따라가고, 이미 운영 중인 조직은 빠진 항목을 점검하는 용도로 쓰면 됩니다.
핵심 권장사항
조달과 생성
- 소프트웨어를 조달할 때 계약과 구매 조건에 SBOM 제공 요구를 명시합니다. 어떤 요소를 어떤 형식으로 언제 제공할지까지 지정합니다.
- SBOM은 SPDX 또는 CycloneDX 형식으로 생성합니다. 거래 상대의 요구와 자사 도구 체인을 기준으로 고릅니다.
- 빌드 시점에 SSDLC와 CI/CD 파이프라인에서 SBOM을 자동 생성해 정확도와 적시성을 확보합니다.
- 새 구성요소가 도입되거나 기존 구성요소가 갱신될 때 SBOM을 다시 만드는 워크플로우를 둡니다.
데이터 품질
- 구성요소명, 버전, 라이선스, 고유 식별자 같은 메타데이터를 빠짐없이 담습니다. 최소 요소는 최저선일 뿐이므로 자사 용도에 맞춰 필드를 더합니다.
- 구성요소를 PURL이나 CPE로 고정해, 이름이나 버전이 바뀌어도 추적이 끊기지 않게 합니다.
- 생성 도구의 버전을 고정하고 출처를 검증하며, 생성물에 해시와 서명을 붙여 무결성을 보장합니다.
취약점과 라이선스
- SBOM을 취약점 데이터베이스와 권고에 연결해 보안 상태를 지속적으로 가시화합니다.
- 패치나 완화를 적용하면 자체 SBOM에 반영합니다.
- VEX와 CSAF로 취약점의 악용 가능성 상태를 교환하고, 위험 기반으로 대응 우선순위를 정합니다.
- 모든 구성요소의 라이선스 호환성을 분석해 결합 시 생길 충돌을 미리 식별합니다.
보관과 운영
- SBOM을 암호화와 접근 통제로 안전하게 저장·전송하고, 공개·비공개 범위를 명확히 구분합니다.
- 정기 감사로 SBOM의 정확성과 완전성을 점검합니다.
- 개발자부터 보안팀까지 SBOM의 역할에 대한 교육과 인식 프로그램을 운영합니다.
도입 점검표
단계별로 무엇을 했는지 점검하는 체크리스트입니다.
| 단계 | 점검 항목 |
|---|---|
| 기초 | 중요 자산 식별과 도입 계획 수립 |
| 기초 | SBOM 형식(SPDX/CycloneDX)과 최소 데이터 요구 결정 |
| 기초 | 안전한 저장소와 도구 선정 |
| 기초 | 조달 계약에 SBOM 제공 요구 반영 |
| 발전 | 구성요소에 고유 식별자 부여 |
| 발전 | 공급사 SBOM과 내부 SBOM 매핑 |
| 발전 | 빌드 파이프라인(CI/CD)에 SBOM 자동 생성 통합 |
| 발전 | 접근 통제와 암호화 등 안전한 구성 관리 적용 |
| 확장 | SBOM과 취약점 데이터베이스 연계 추적 |
| 확장 | VEX·CSAF 기반 악용 가능성 관리와 사고 대응 통합 |
| 확장 | 정기 검토·감사와 인식 프로그램 운영 |
다음 단계
AI 시스템을 개발하거나 공급망으로 주고받는다면, 이 가이드의 SBOM 역량 위에 모델과 데이터셋, 학습 연산이라는 AI 고유 계층을 얹어야 합니다. 일반 SBOM의 구성요소와 라이선스, 취약점 관리 실무가 AI BOM의 소프트웨어 계층으로 그대로 이어집니다. 자세한 내용은 별도 가이드인 AI SBOM 컴플라이언스 가이드에서 다룹니다.
출처
NTIA (2021). The Minimum Elements For a Software Bill of Materials (SBOM). CISA (2024). Framing Software Component Transparency, Third Edition. CERT-In. Technical Guidelines on Software Bill of Materials (SBOM). Regulation (EU) 2024/2847 — Cyber Resilience Act. (모두 접속: 2026-06-14)