같은 구성요소를 두고 SBOM마다 이름을 다르게 적으면 자동 대조가 무너집니다. “Apache Tomcat"과 “tomcat”, “Apache Software Foundation Tomcat"이 같은 것인지 기계가 알 길이 없기 때문입니다. 그래서 구성요소를 일관되게 가리키는 식별자 체계와, 라이선스를 표준 코드로 표기하는 규약이 필요합니다.

세 가지 식별자: PURL, CPE, SWID

실무에서 함께 쓰이는 세 식별자는 역할이 갈립니다. 배타적이지 않으므로, 가능하면 함께 기재하는 것이 권장됩니다.

표 1. SBOM에서 함께 쓰이는 식별자(출처: purl-spec, NIST NVD, ISO/IEC 19770-2. 수집일 2026-06-14)

패키지 URL은 다음과 같은 형식으로 패키지 관리자 생태계 안의 구성요소를 가리킵니다.

pkg:maven/org.apache.logging.log4j/log4j-core@2.14.1
pkg:npm/lodash@4.17.21
pkg:pypi/requests@2.31.0

pkg: 뒤에 생태계 유형(maven, npm, pypi 등), 네임스페이스, 이름, 버전이 이어집니다. 같은 구성요소를 어디서나 같은 문자열로 가리킬 수 있어, 취약점 데이터베이스나 라이선스 데이터베이스와 자동으로 연결됩니다.

CPE는 2000년대 중반 MITRE가 개발해 현재 NIST가 운영합니다. 제품을 정해진 이름 규칙으로 표기해, 그 제품에 해당하는 취약점(CVE)을 조회하는 데 쓰입니다. SWID는 ISO/IEC 19770-2로 표준화된 태그 형식으로 제품과 버전, 생산·배포 주체를 구조화해 기술하며 자산 관리에서 주로 활용됩니다. CISA 2025 최소 요소 초안이 “기타 고유 식별자"를 “소프트웨어 식별자"로 갱신한 것도 이 식별자 생태계의 성숙을 반영합니다.

라이선스 표기: SPDX 라이선스 식별자

라이선스 관리는 SBOM의 초기 활용처 가운데 하나입니다. 각 구성요소가 어떤 라이선스로 배포되는지를 정확히 기록해야 의무 위반과 충돌을 미리 막을 수 있습니다. 자유 서술로 적으면 대조가 안 되므로, 표준 코드를 씁니다.

SPDX 라이선스 식별자는 각 라이선스에Apache-2.0,MIT,GPL-3.0-only 같은 고유 코드를 부여합니다. 여러 라이선스가 함께 적용될 때는 라이선스 표현식(license expression)으로 조합합니다.

Apache-2.0 OR MIT
GPL-2.0-only WITH Classpath-exception-2.0
(MIT AND BSD-3-Clause)

OR는 선택 가능한 복수 라이선스,AND는 동시에 적용되는 복수 라이선스,WITH는 예외 조항과의 결합을 나타냅니다.

실무에서 지켜야 할 원칙은 다음과 같습니다.

• 제품 전체의 라이선스뿐 아니라 모든 개별 구성요소의 라이선스를 함께 볼 수 있어야 합니다.
• 표준 목록에 없는 라이선스를 만나면 출처를 나타내는 접두사를 붙인 식별자(예:LicenseRef- 접두사)를 부여해 추적합니다.
• 라이선스 텍스트를 사소하게 수정했더라도 의미가 크게 달라지지 않으면 원본과 같은 식별자를 씁니다.
• 라이선스의 호환성을 분석해, 서로 다른 라이선스의 구성요소를 결합할 때 생길 충돌을 미리 식별합니다.

라이선스 필드가 도구로 자동 추출되더라도 그 정확도는 별개의 문제입니다. 비표준 라이선스의 정확한 식별, 듀얼 라이선스 처리, 행동 사용 제한이 붙은 라이선스의 준수 여부는 여전히 사람과 정책의 몫입니다. 자동화의 경계는5. 도구와 자동화에서 다룹니다.

출처

Package URL 명세https://github.com/package-url/purl-spec. NIST.Common Platform Enumeration (CPE)https://nvd.nist.gov/products/cpe. ISO/IEC 19770-2:2015. SPDX License Listhttps://spdx.org/licenses/. SPDX License Expressionshttps://spdx.github.io/spdx-spec/v2.3/SPDX-license-expressions/. (모두 접속: 2026-06-14)