“SBOM 의무화 시대 온다” 쿠도커뮤니케이션·블랙덕, 공급망 보안 대응 전략 제시

오픈소스 확산과 규제 강화 속 ‘진짜 위험 기반 AppSec’ 필요성 부각

[보안뉴스 강초희 기자] 소프트웨어 개발 환경에서 오픈소스 활용이 급증하고 공급망 공격 위협이 확대되면서 기업 보안 전략이 근본적 전환점을 맞고 있다. 특히 소프트웨어 자재명세서(SBOM: Software Bill of Materials) 기반 공급망 가시성 확보가 글로벌 보안 규제 대응 핵심 요소로 부상하며 국내 기업의 대응 필요성이 빠르게 커지고 있다.

쿠도커뮤니케이션(대표 김용식)은 AI 기반 애플리케이션 보안 기업 블랙덕(Black Duck)과 이러한 시장 변화에 대응하기 위한 소프트웨어 공급망 보안 전략을 제시했다.

현재 글로벌 시장에선 미국 행정명령을 비롯해 SBOM 제출 요구가 확대되며, 소프트웨어 구성요소에 대한 투명성과 추적 가능성이 중요한 평가 기준으로 자리 잡고 있다. 이에 따라 기업은 단순 취약점 탐지를 넘어 코드 구성 요소와 라이선스, 의존성까지 포함한 통합 관리 체계를 구축해야 하는 상황이다.

블랙덕 SCA는 이러한 요구에 대응하는 대표적 애플리케이션 보안(AppSec) 솔루션이다. 오픈소스 구성요소 식별부터 취약점 분석, 라이선스 리스크 관리, SBOM 생성까지 통합적으로 제공한다. 특히 SPDX, 사이클론DX(CycloneDX) 등 국제 표준 포맷 기반 SBOM을 자동 생성하고 글로벌 규제 대응을 지원한다.

또 기존 AppSec이 ‘취약점 탐지’ 중심이었다면, 최근엔 실제 공격 가능성과 비즈니스 영향도를 기준으로 위험을 판단하는 방향으로 진화하고 있다. 블랙덕은 이러한 흐름에 맞춰 ‘실제 위험 기반’(AppSec Risk-Based Approach) 보안 모델을 제시하고 있다.

기존 AppSec은 개발 완료 이후 사후 점검 방식으로 운영돼 개발과 보안 간 충돌이 발생하는 반면, 블랙덕은 개발 단계에서 보안을 내재화하고 코드와 오픈소스, SBOM, 규제 등에 대한 통합 가시성을 제공한다.

특히 오픈소스, 외주 코드, AI 생성 코드의 비중이 증가하면서 기업이 관리해야 할 보안 리스크는 더욱 복잡해지고 있다. 실제로 많은 기업이 취약점 수는 많지만 어떤 것이 ‘실제 위험’인지 판단하기 어려운 상황에 놓여 있다. 수작업 대응으로 인해 개발 생산성과 보안 수준이 동시에 저하되는 문제가 발생하고 있다.

이러한 문제를 해결하기 위해 블랙덕은 업계에서 가장 포괄적인 오픈소스 지식 베이스를 기반으로 소프트웨어 공급망 전반의 취약점과 라이선스 리스크를 자동 분석하고, 우선순위를 설정해 대응할 수 있도록 지원한다.

쿠도커뮤니케이션은 블랙덕과 협력해 국내 기업들이 DevSecOps 기반 통합보안 체계를 구축할 수 있도록 지원한다. 특히 금융·공공·엔터프라이즈 시장을 중심으로 SBOM 대응, 오픈소스 보안 관리, 규제 대응 컨설팅까지 확대한다.

김철봉 쿠도커뮤니케이션 정보보안 사업부장은 “소프트웨어 공급망 보안은 더 이상 선택이 아닌 필수이며, SBOM 기반 관리 체계는 글로벌 표준으로 자리 잡고 있다”며 “국내 기업들이 규제 대응과 동시에 보안 경쟁력을 확보할 수 있도록 블랙덕과 함께 지원을 강화할 것”이라고 밝혔다.

[강초희 기자(choh@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)