SBOM을 둘러싼 규제는 관할권마다 위상이 다릅니다. 미국은 연방 조달을 지렛대로 삼는 행정명령 경로, 유럽연합은 직접 효력을 갖는 법률 경로, 그 밖의 국가들은 대체로 권고 가이드라인 단계에 있습니다. 이 절에서는 미국을 먼저 다루고,EU 사이버 복원력법과인도·한국 등 기타 관할권을 이어서 다룹니다.

관할권별 위상 한눈에 보기

표 1. 주요 관할권의 SBOM 규제 위상(출처: 각 항목 1차 출처. 수집일 2026-06-14)

미국: 연방 조달을 지렛대로

미국의 SBOM 정책은 행정명령에서 출발합니다. 솔라윈즈 사건 직후인 2021년 5월 12일, 행정명령 14028(“Improving the Nation’s Cybersecurity”)이 서명되어 연방관보 86 FR 26633으로 공포되었습니다. 이 명령의 Section 10(j)는 SBOM을 “소프트웨어를 만드는 데 사용된 다양한 구성요소의 세부 정보와 공급망 관계를 담은 공식 기록"으로 정의했고, Section 4(f)는 상무부 장관이 NTIA와 협조해 60일 이내에 SBOM 최소 요소를 발행하도록 지시했습니다. SBOM이 연구 공동체의 권고에서 연방 조달의 요건 후보로 격상된 순간입니다.

이 위임에 따라 NTIA가 2021년 7월 최소 요소를 발행했고, 이후 작업 주관은 CISA로 옮겨갔습니다. CISA는 행정관리예산국(Office of Management and Budget, OMB) 메모 M-22-18에 따라 NTIA 최소 요소를 갱신할 권한을 갖고, 도구화와 운영화에 초점을 두고 있습니다. 그 결과가 2024년Framing Software Component Transparency 3판과 2025년 최소 요소 개정 초안입니다. 두 문서의 데이터 필드 변화는최소 요소에서 다룹니다.

미국 경로의 성격을 정확히 이해하는 것이 중요합니다. 행정명령 14028은 연방정부에 소프트웨어를 공급하는 사업자에게 SBOM 제공을 요구하는 지침의 근거이지, 모든 소프트웨어에 적용되는 일반 법령이 아닙니다. CISA의 두 문서도 스스로 새로운 연방 요건을 창설하지 않는다고 밝힙니다. 규범의 위상은 여전히 조달 기준과 기술 참조에 머물러 있습니다. 그럼에도 연방 조달이라는 거대한 시장이 작동하는 탓에, 미국에 소프트웨어를 납품하는 기업에는 사실상의 요건으로 기능합니다.

flowchart TD
A["2021-05<br/>행정명령 14028<br/>SBOM 정의·최소 요소 위임"] --> B["2021-07<br/>NTIA 최소 요소<br/>7개 데이터 필드·3개 범주"]
B --> C["CISA로 주관 이관<br/>OMB M-22-18 갱신 권한"]
C --> D["2024-09<br/>Framing 3판<br/>라이선스·저작권 고지 속성 추가"]
C --> E["2025-08<br/>최소 요소 개정 초안<br/>해시·라이선스·도구명·생성맥락 추가"]

그림 1. 미국 SBOM 정책 문서의 계보(출처: 행정명령 14028, NTIA 2021, CISA 2024·2025. 수집일 2026-06-14)

출처

The White House (2021).Executive Order 14028 — Improving the Nation’s Cybersecurity, 86 FR 26633.https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity. OMB (2022).M-22-18.https://www.whitehouse.gov/wp-content/uploads/2022/09/M-22-18.pdf. CISA SBOM 자료 허브https://www.cisa.gov/sbom. (모두 접속: 2026-06-14)

형식을 정했다면 그 형식 안에 무엇을 반드시 담아야 하는지가 다음 질문입니다. 이 최저선을 정의한 문서가 미국의 최소 요소(Minimum Elements) 계열입니다. 권고이긴 하지만 연방 조달의 사실상 기준이고, EU와 다른 관할권의 SBOM 요건도 대체로 이 골격을 참조합니다.

계보: NTIA 2021에서 CISA 2025로

미국 통신정보청(National Telecommunications and Information Administration, NTIA)은 행정명령 14028의 위임에 따라 2021년 7월 *The Minimum Elements For a Software Bill of Materials (SBOM)*를 발행했습니다. 이 문서는 최소 요소를 세 범주로 정리했습니다. 구성요소별로 추적할 데이터 필드, 기계 판독 형식을 요구하는 자동화 지원, 그리고 생성 빈도와 깊이 등을 다루는 관행과 프로세스입니다.

이후 커뮤니티 작업의 주관은 사이버보안·인프라보안국(Cybersecurity and Infrastructure Security Agency, CISA)으로 옮겨갔고, 두 갈래의 개정이 나왔습니다. 하나는 속성을 정의하는 참조 문서인Framing Software Component Transparency의 3판(2024-09)으로, 기준 속성에 라이선스(License)와 저작권 고지(Copyright Notice)를 추가했습니다. 다른 하나는 최소 요소 문서 자체의 개정으로, CISA는 2025년 8월2025 Minimum Elements for a Software Bill of Materials를 공개 의견수렴 초안으로 내놓았고 의견수렴은 2025년 10월 3일 마감됐습니다. 2026년 6월 기준 이 개정안은 아직 초안 상태이며 최종본 발표일은 확인되지 않았습니다.

NTIA 2021의 데이터 필드와 세 범주

NTIA 2021 최소 요소가 정한 구성요소별 데이터 필드는 일곱 개입니다.

세 범주는 다음과 같습니다.

• 데이터 필드: 위 일곱 항목으로, 구성요소를 추적·식별하기 위한 기본 정보입니다.
• 자동화 지원: 자동 생성과 기계 판독성을 위한 표준 형식으로 SPDX, CycloneDX, SWID를 명시했습니다.
• 관행과 프로세스: 생성 빈도, 깊이, 알려진 미상(known unknowns)의 처리, 배포와 전달, 접근 통제, 오류 수용 방식을 다룹니다.

CISA 2025 초안이 더한 것

CISA 2025 최소 요소 초안은 도구가 성숙한 현실을 반영해 데이터 필드를 늘렸습니다. 신규로 추가된 핵심 요소는 네 가지입니다.

기존 항목도 손질했습니다. SBOM 작성자(SBOM Author)와 소프트웨어 생산자(Software Producer)의 역할을 구분하고, “기타 고유 식별자"를 “소프트웨어 식별자(Software Identifiers)“로 갱신했으며, 별도였던 접근 통제 요소는 배포·전달 항목으로 통합했습니다. 라이선스가 Framing 3판에서 기준 속성으로 들어오고 2025 초안에서 데이터 필드로 굳어진 흐름은, SBOM이 보안 인벤토리를 넘어 오픈소스 라이선스 컴플라이언스의 1차 데이터로 자리 잡고 있음을 보여줍니다. 도구명과 생성 맥락, 해시가 함께 들어온 배경에는 “신뢰할 수 없는 도구가 만든 SBOM은 신뢰할 수 없다"는 문제의식이 있습니다. 도구 무결성은5. 도구와 자동화에서 다룹니다.

실무 권고

최소 요소는 말 그대로 최저선입니다. 조직은 자사 용도에 맞춰 필드를 더할 수 있고, 더해야 합니다. 취약점 식별을 위해 CVE 참조와 패치 상태를, 라이선스 관리를 위해 SPDX 라이선스 식별자와 저작권 고지를, 수명주기 관리를 위해 출시일과 지원 종료(End-of-Life) 일자를 함께 담아 두면 SBOM 하나로 여러 운영 질문에 답할 수 있습니다. 새로 SBOM을 도입한다면 NTIA 일곱 필드를 기본으로 하되 CISA 2025 초안의 네 신규 필드, 특히 해시와 라이선스를 처음부터 포함하는 편이 나중에 다시 만드는 수고를 줄입니다.

출처

NTIA (2021).The Minimum Elements For a Software Bill of Materials (SBOM).https://www.ntia.gov/files/ntia/publications/sbom_minimum_elements_report.pdf. CISA (2024).Framing Software Component Transparency, Third Edition.https://www.cisa.gov/resources-tools/resources/framing-software-component-transparency-2024. CISA (2025).2025 Minimum Elements for a Software Bill of Materials (SBOM) (공개 의견수렴 초안).https://www.cisa.gov/resources-tools/resources/2025-minimum-elements-software-bill-materials-sbom. (모두 접속: 2026-06-14)