Press Release

Introducing ‘2022 K-Global Startup Competition’ Startup: Softverse

By 2022-12-21January 9th, 2023No Comments

▶ 세계 최초 운영체제의 SBOM 개발 성공

▶ 국내 소프트웨어 공급망 보안 역량 입증

▲ ㈜소프트버스 운영체제 SBOM 생성 프로세스

공급망 보안 솔루션 스타트업 (주)소프트버스(대표 이만희)와 한남대학교 컴퓨터공학과 이만희 교수 연구팀은 운영체제(OS)의 공급망 보안 안정성을 위해 운영체제에 대한 소프트웨어 명세서인 SBOM(Software Bill of Materials)을 생성하는 연구를 성공적으로 수행했다고 밝혔다.

식당에 음식의 원재료 및 원산지를 안내하듯 SBOM은 소프트웨어를 이루는 모든 구성요소를 공급망 관계도와 함께 하나의 체계화된 문서로 기록하여 구매자에게 제공할 수 있도록 고안된 명세서이다. 조 바이든 정부는 2021년 대통령 행정명령(14028)을 통해 미 연방정부의 주요 소프트웨어에 SBOM 제출을 단계적으로 의무화하겠다고 발표했다. 전 세계적으로 증가하고 있는 소프트웨어 공급망 공격에 대응하기 위해서다. 이러한 세계적인 흐름에 맞추어 국내에서도 공급망 보안 관련 요구사항에 대한 정책적 이슈 대응이 필요해졌으며, 국내 국가·공공기관의 소프트웨어 공급망 보안관리 체계 구축도 중요해졌다.

(주)소프트버스와 이만희 교수 연구팀은 운영체제 공급망 보안 강화를 위해 구름OS SBOM을 연구하였다. 구름OS는 국가보안기술연구소가 개발한 개방형 OS로 보안성이 강화된 단말 운영체제이다. 구름OS는 현재 행정안전부 온북의 운영체제로 활용되는 등 다양한 형태로 확산되고 있기에, 구름OS SBOM 개발은 국가·공공기관 업무환경의 공급망 보안관리 측면에서 가치가 높다고 할 수 있다.

(주)소프트버스와 이만희 교수 연구팀은 운영체제의 설치 이미지 파일 분석을 통해 구름OS 대한 SBOM 생성에 성공하였으며, 국제 SBOM 표준을 바탕으로 개발하여 연구 결과에 대한 효용성이 더욱 높이 평가되고 있다. 특히 관련 업계에선 세계 최초의 운영체제 SBOM으로 평가받고 있다.

개발된 구름OS에 대한 SBOM은 운영체제 개발 과정에서 포함되는 다양한 소프트웨어 구성 요소에 대한 정보를 식별하고, 해당 구성요소의 출처를 명확히 확인할 수 있는 장점이 있다. 이를 통해 최근 크게 이슈가 된 보안 취약점인 Log4Shell(CVE-2021-44228)과 같은 취약점이 발견되는 경우 SBOM을 통해 해당 취약점 영향 여부를 즉시 파악할 수 있으며, 개발 및 도입과정에서 포함되어 있는 소프트웨어 취약점을 손쉽게 식별할 수 있어 그 활용도가 매우 높다.

본 연구 결과는 오픈소스로 개발된 운영체제의 구성요소 SBOM과 개발에 사용된 소스 코드 파일의 SBOM을 통합적으로 생성·관리하는 등 국내 공급망 보안을 위한 핵심 기술로 자리매김하면서 향후 소프트웨어 공급망 관리체계 개발에 크게 이바지할 수 있을 것으로 기대된다.
(주)소프트버스와 이만희 교수 연구팀은 향후 추가적인 연구 개발을 통해 운영체제뿐만 아니라 일반적인 소프트웨어에 대한 SBOM 생성 기술 및 검증 체계를 개발할 예정이며, 현재는 소프트웨어 공급망 보안 위협을 실시간으로 모니터링할 수 있는 핵심 기술 개발에 매진하고 있다.

이만희 교수는 “국내 공급망 보안의 초석인 구름 OS에 대한 SBOM 생성 연구가 성공적으로 수행되어 매우 기쁘고, 향후 지속적인 관련 연구개발을 통해 구름OS와 더불어 국내 소프트웨어 공급망 보안 안전성 향상에 기여할 수 있도록 할 계획이다”라고 소감을 밝혔다. (주)소프트버스는 2021년 12월에 설립한 공급망 보안 솔루션 기업으로, 현재 소프트웨어 공급망 보안 솔루션 및 관련 기술 개발을 필두로 보안과 관련된 다양한 연구 개발을 수행하고 있다. 현재 소프트웨어 공급망 보안 위협을 실시간으로 식별할 수 있는 솔루션 출시를 앞두고 있다.