클라우드 전문정보
제목 | 기업에서 오픈 소스와 SBOM 관리의 중요성 및 EU 보안사례 | ||
---|---|---|---|
등록일 | 2024-12-16 | 조회수 | 268 |
삼성전자 반도체 / 한충희 수석
클라우드, 빅데이터, AI 등 다양한 인프라 환경 변화와 시민 개발자(Citizen Developer)의 증가는 기업의 소프트웨어(SW) 개발 환경에 근본적인 변화를 가져왔으며, 특히 오픈 소스의 사용 증가와 SBOM(Software Bill of Materials) 관리의 중요성는 날로 증가하고 있습니다.
이 글에서는 EU의 CRA(Cyber Resilience Act)와 NIS2(Network and Information Security Directive 2)와 같은 글로벌 규제 사례 등을 통해서 기업에서의 오픈 소스와 SBOM(Software Bill of Material) 관리의 중요성과 요성에 대해서 논의하고자 합니다.
1. 인프라 환경의 변화에 따른 오픈소스 사용 증가
1-1. 클라우드, 빅데이터, AI 등 환경 변화
최근 몇 년간 클라우드, 빅데이터, AI(인공지능) 등의 환경 변화는 소프트웨어 개발 환경의 근본적인 변화를 일으키고 있습니다. 이러한 기술들은 데이터의 수집, 저장, 분석, 그리고 활용 방식을 획기적으로 바꾸어 놓았으며, 기업들이 경쟁력을 유지하고 혁신을 이루기 위한 핵심 요소로 자리잡고 있습니다. 특히, 클라우드는 인프라 관리의 부담을 줄이고, 비용 효율성을 높이며, 빅데이터와 AI는 기업이 데이터를 기반으로 의사 결정을 최적화하고 예측 분석을 통해 비즈니스 성과를 향상시킬 수 있는 기회를 제공하고 있습니다. 이와 같은 변화 속에서 오픈 소스 소프트웨어(OSS)는 기업들이 기술적 혁신을 빠르게 진행하고, 비용을 절감하며, 유연성을 극대화하는 데 중요한 역할을 하고 있습니다. 오픈 소스는 다양한 기술 환경에서 그 활용도가 급증하고 있으며, AWS, Azure, Google Cloud와 같은 주요 클라우드 서비스 제공업체도 오픈 소스를 지원하여 기업들이 손쉽게 애플리케이션을 구축하고 운영할 수 있도록 돕고 있습니다. 또한 빅데이터 분석에서는 Hadoop, Apache Spark와 같은 오픈 소스 툴들이 대용량 데이터 처리와 분석을 가능하게 하며, AI 분야에서도 TensorFlow, PyTorch와 같은 오픈 소스 프레임워크들이 AI 모델 개발을 가속화하고 있습니다. 이처럼 오픈 소스는 기업의 소프트웨어 개발에서 더 이상 선택이 아닌 필수적인 요소 자리잡고 있습니다.
1-2. 디지털 전환(Digital Transformation, DX)과 Citizen 개발자
오늘날 기업들의 디지털 전환(Digital Transformation, DX)은 단순한 기술 도입을 넘어 비즈니스 모델, 운영 프로세스, 고객 경험을 근본적으로 변화시키며, 기업의 생존과 성장을 좌우하는 핵심 전략으로 자리 잡고 있습니다. 이 과정에서 소프트웨어는 경쟁 우위를 확보하고 시장 변화에 신속히 대응하는 데 필수적인 요소가 되고 있습니다. DX를 추진하는 주요 이유 중 하나는 빠르게 변화하는 시장 환경과 고객 요구에 대응하기 위함이며, 이를 위해 기업들은 기존의 개발 중심 조직뿐만 아니라 IT 전문가가 아닌 Citizen 개발자(일반 직원 개발자)의 참여를 적극적으로 유도하고 있으며, 이를 위해 로우 코드(Low-Code)나 노코드(No-Code)를 활용하거나 IDP(Internal Developer Platform)를 통해 SW 개발 환경을 더욱 쉽게 만들고 있습니다.
이러한 노력을 통해 기업은 소프트웨어 개발 역량을 조직 전체로 확장하고 DX의 범위를 넓혀 비즈니스 변화에 신속하게 대응할 수 있습니다. 이와 같은 환경에서 Citizen 개발자에게 오픈 소스 소프트웨어의 사용은 매력적인 선택이 됩니다. Citizen 개발자들은 전문적인 개발 없이도 다양한 오픈 소스를 활용하여 자신의 필요에 맞는 애플리케이션을 구축하고, 이를 빠르게 배포할 수 있기 때문입니다.
이처럼 클라우드, 빅데이터, AI 등 환경 변화와 DX 확산, Citizen 개발자 증가 등은 기업에서 오픈 소스의 사용을 증가시키고 있으며, 기업에서도 오픈 소스의 사용은 선택이 아닌 필수적인 요소 자리잡고 있습니다. 하지만, 이러한 변화와 혁신이 이뤄짐에 따라, 기업들이 직면한 또 다른 중요한 문제는 바로 오픈 소스 소프트웨어의 사용과 그 관리입니다. 오픈 소스는 비용 효율성과 개발 속도를 높이는 데 유리하지만, 보안 취약점, 라이선스 준수, 그리고 컴플라이언스 이슈가 발생할 수 있으며, 복잡한 의존성으로 인해 새로운 보안 및 품질 관리의 문제를 야기하기도 합니다.
이러한 상황에서 SBOM(Software Bill of Materials)의 중요성이 강조됩니다. SBOM은 소프트웨어의 구성 요소를 상세히 나열하고, 각 구성 요소의 라이선스, 버전, 보안 취약점 등을 추적할 수 있게 해줍니다. 이를 통해 기업은 빠르게 변화하는 기술 요구 사항을 충족시키면서도 오픈 소스를 안전하게 관리할 수 있습니다.
2. EU의 CRA와 NIS2가 가져올 변화
오픈소스의 사용과 관리에 관련해서는 최근 글로벌 소프트웨어(SW) 공급망 보안 규제가 급속히 강화되고 있으며, 특히, 미국과 유럽연합(EU)을 중심으로 다양한 법적, 기술적 요구 사항이 도입되면서 기업은 SBOM 관리, 보안 점검 자동화, 취약점 대응 체계 마련 등 변화하는 규제에 적극적으로 대응해야 합니다.
2-1. EU의 CRA와 NIS2란?
디지털 기술이 사회와 경제의 중심축으로 자리 잡으면서 사이버 보안은 단순한 기술적 문제를 넘어 기업과 국가의 생존에 직결된 전략적 요소로 부상하고 있습니다. 하드웨어와 소프트웨어 제품은 사이버 공격의 표적이 되었으며, 2021년까지 전 세계 사이버 범죄 비용은 연간 5조 5,000억 유로에 이를 것으로 추산되고 이에 따른 피해 비용은 훨씬 더 클 것으로 예상합니다. 유럽연합(EU)은 이 같은 디지털 전환의 도전 과제에 대응하기 위해 사이버복원력법(CRA, Cyber Resilience Act)과 네트워크 및 정보 시스템 지침2(NIS2, Network and Information Systems Directive2)를 도입했습니다.
CRA는 디지털 제품과 소프트웨어에 대해 전례 없는 수준의 사이버보안 기준을 도입하고, NIS2는 유럽 전역의 핵심 인프라와 공급망의 보안을 강화하는 것을 목적으로 합니다. 이 두 규제는 단순한 법적 요건 이상의 의미를 가지며, 기업, 소프트웨어 개발자, 오픈소스 커뮤니티 등 디지털 생태계 전반에 큰 변화를 예고하고 있습니다. 특히 SBOM, 보안 업데이트 의무화, 그리고 광범위한 사고 보고 체계는 CRA와 NIS2가 지향하는 투명성과 보안성을 구체화하는 핵심 도구로 주목받고 있습니다. 이는 앞선 EU의 개인정보보호(GDPR) 사례처럼 디지털 제품과 서비스의 보안을 강화할 뿐만 아니라, 글로벌시장에서의 신뢰와 경쟁력에도 많은 변화가 있을 것으로 예상됩니다.
먼저 EU의 Cyber Security에 대한 일련의 과정을 정리해 보도록 하겠습니다.
- 2004년: ENISA(유럽사이버보안청) 설립: 사이버보안 정책 개발, 회원국간 협력 강화, 교육 및 연구 지원
- 2013년: 사이버보안 전략 수립: 사이버 범죄 대응 및 인프라 보호 전략
- 2016년: NIS 지침 도입, 서비스 운영자의 보안 및 보안사고 보고 의무화, 회원국 간 사이버보안 대응 팀(CSIRT) 설립
- 2018년: GDPR 시행 및 Cyber Security Act 초안발표, 개인정보 보호를 중심으로 사이버 보안의 중요성, Cybersecurity Act 초안 발표로 EU 차원의 사이버보안 인증 체계 도입
- 2019년: Cyber Security Act 시행: ENISA 상설기구화, 디지털 제품 및 서비스의 신뢰성과 보안성 강화
- 2023년: CRA(사이버복원력법) 및 NIS2 확정: SBOM(소프트웨어 구성 목록) 필수화, 기존 NIS 지침의 범위 확대, 기업의 사이버보안 책임 강화
- 2024년~2027년: CRA와 NIS2 시행, NIS2 지침의 회원국별 법제화 완료 예정(2024년 10월), CRA 전면 시행(2027년 초) * 법(Act)와 지침(Directive) 구분: 자료 하단 참고
다음은 CRA와 NIS2의 주요 내용에 대해 알아보겠습니다.
CRA(Cyber Resilience Act)는 EU 내에서 판매되거나 제공되는 모든 하드웨어와 소프트웨어 제품에 대한 사이버보안 요건을 강화하는 법안으로 2023년 12월 2일에 최종 확정되었으며, 2027년 초부터 적용될 예정입니다.
CRA 주요 내용은 아래와 같습니다.
- 사물인터넷 제품 등의 사이버보안 강화를 위해 제조사에 제품 보안 업데이트, 공급망 사이버보안 점검, 정부 당국과 보안 취약성 정보 공유 등 일련의 요건을 부과하는 법
- 제조사는 제품의 생애주기 동안, 최소 5년 이상의 보안 업데이트 지원 의무를 가짐
- 제품에 해킹이 가능한 취약점을 발견한 경우, 해당 제품의 시장 출시가 금지되며, 24시간 이내에 유럽사이버보안청(ENISA) 및 회원국 컴퓨터사고대응팀(CSIRTs)에 보고
- 비영리단체가 판매하고, 수익이 모두 비영리활동에 사용되는 오픈소스 소프트웨어는 법 적용 대상에서 제외됨(단, 수익발생시 제외)
- CE 마크가 표시된 모든 제품에 대하여 최소한의 사이버보안 점검이 이루어지도록 보장하기 위한 것으로, 따라서 대부분의 사물인터넷 제품 제조사가 동 법에 의한 제품 생애주기 또는 최소 5년 이상의 보안 업데이트 지원 의무를 가짐
- 위반할 경우 제재: 제품 판매금지, 제품회수 명령, 벌금 부과
NIS2(Network and Information Systems Directive2)는 2016년에 도입된 NIS 지침을 강화 및 확장한 것으로, EU 전역의 사이버보안 수준을 높이기 위한 지침입니다.
2023년 1월 16일에 발효되었으며, 회원국들은 2024년 10월 17일까지 이를 국내법으로 전환해야 합니다.
NIS2 주요 내용은 아래와 같습니다.
- 에너지, 교통, 보건, 디지털 인프라 등 사회적경제적으로 중요한 부문뿐만 아니라, 제조업, 디지털 서비스 제공업체 등으로 적용 범위가 확대됨
- 기업은 사이버보안 위험 관리 조치를 도입하고, 사고 보고 의무를 준수
- 규정위반 시 최대 1,000만 유로 또는 전 세계 연간 매출의 2%에 해당하는 벌금 부과로 강화됨
2-2. CRA와 NIS2가 오픈소스 소프트웨어에 미치는 영향
CRA와 NIS2는 오픈소스 소프트웨어 커뮤니티와 이를 활용하는 기업들에게 중요한 영향을 미칩니다. CRA는 비영리 단체가 판매하고 수익을 비영리 활동에 전적으로 사용하는 오픈소스 소프트웨어는 규제 대상에서 제외하지만, 상업적 목적으로 사용되는 오픈소스 소프트웨어는 규제를 받습니다. 이에 따라 아파치 소프트웨어 재단, 오픈인프라 재단, 파이썬 소프트웨어 재단 등 주요 오픈소스 재단들은 사이버보안 표준 수립과 CRA 대응을 위한 공동 이니셔티브를 추진하고 있습니다. 그러나 상업적 목적으로 오픈소스를 활용하는 기업은 규제 대상이 될 가능성이 크므로, 재단의 대응과 별도로 독자적인 CRA 준수 전략을 수립해야 합니다. NIS2는 서비스 관점의 공급망 보안을 강조하며, 오픈소스 소프트웨어를 사용하는 기업에도 보안 조치와 사고 보고 의무를 부과합니다. 기업은 사용 중인 모든 소프트웨어, 특히 오픈소스 소프트웨어의 보안성을 지속적으로 모니터링하고, 취약점 발생 시 신속히 대응할 수 있는 체계를 구축해야 합니다. SBOM은 이러한 규제에 대응하기 위한 주요 도구로 부상하고 있으며, 오픈소스를 사용하는 기업은 SBOM을 통해 제품의 보안성을 향상시키고 공급망의 투명성을 확보함으로써 규제를 준수하고 사이버보안 리스크를 줄일 수 있습니다.
SBOM(Software Bill of Materials)은 오픈소스 소프트웨어를 포함한 모든 디지털 제품과 서비스의 구성 요소를 문서화한 목록으로, SW 공급망 보안의 핵심 요소로 작용합니다.
- SBOM은 제품에 포함된 모든 소프트웨어 구성 요소와 그 버전 등을 명확히 기록합니다. 이를 통해 소프트웨어 공급망의 투명성을 확보하고, 각 구성 요소가 CRA와 NIS2의 요구를 충족하는지 점검할 수 있습니다.
- SBOM은 소프트웨어 구성 요소에서 발생할 수 있는 CVE, CVSS등의 정보를 통해 보안 취약점을 신속히 식별하는 데 필수적입니다. 취약점 발견 시 SBOM을 활용해 문제의 구성 요소를 정확히 추적하고, 필요한 패치를 빠르게 적용할 수 있습니다.
- SBOM은 규제 준수의 핵심 도구로 SW 공급망 보안 요구를 충족하기 위한 기본 자료로, 기업의 규제 준수를 입증하는 데 활용될 수 있습니다.
- NIS2는 사이버 사고 발생 시 기업들이 신속히 보고하고 대응할 것을 요구하며, SBOM은 사고가 발생한 소프트웨어 구성 요소를 정확히 파악하여 대응 시간을 단축시키고, 사고 보고의 정확성을 높이는 데 기여합니다.
3. SBOM 관리의 중요성
기업의 오픈소스 소프트웨어 사용 증가와 EU의 CRA 및 NIS2 지침 도입 등은 소프트웨어 공급망 전반에 걸친 관리와 보안 조치 강화를 필수 과제로 만들고 있으며, 이에 따라 SBOM(Software Bill of Materials)은 오픈소스 관리와 글로벌 규제 대응을 위한 핵심 도구로 부상하고 있습니다.
SBOM은 소프트웨어 제품에 포함된 구성 요소와 해당 버전을 투명하게 관리함으로써 제품의 보안성을 높이고 공급망의 투명성을 확보하며, 이를 통해 기업은 보안 취약점을 신속히 식별하고 필요한 패치를 적용하여 규제를 준수하고 사이버보안 리스크를 줄일 수 있습니다.
이러한 접근은 CRA와 NIS2가 요구하는 보안 기준을 충족하는 것은 물론, 디지털 생태계 내 안전성과 신뢰성을 강화하여 기업의 경쟁력을 높이는 데 기여합니다. 미국과 중국 간의 기술 패권 경쟁이 심화됨에 따라 글로벌 규제와 보안 관리의 중요성은 더욱 커질 전망이며, 규제 대응을 위한 관리 비용과 인력 수요가 증가함에 따라 기업은 지속적인 보안 관리 역량을 강화해야 합니다.
하드웨어(HW)와 소프트웨어(SW) 공급망에 대한 신뢰성을 확보하지 못하면 시장에서 기회를 얻기 어려워질 수 있습니다. 따라서 기업, 개발자, 오픈소스 커뮤니티는 변화하는 환경에서 도전과 기회를 동시에 맞이하게 될 것입니다.
4. 마침
마지막으로, 2024년 5월에 발간된 ‘SW공급망 보안 가이드라인’은 보안, 학계, 정부가 협력하여 SW 공급망 사이버보안에 대한 기준을 마련한 중요한 사례로 평가되고 있으며, 한국도 앞으로 이러한 기준을 반영한 법적·제도적 대응을 강화하고, SW 공급망의 보안 강화를 위한 실질적인 조치들을 취해나갈 것으로 예상된다. 또한, 이를 통해 기업은 보다 철저한 보안 관리 시스템을 구축하고, 개발자들은 보안성을 고려한 코드 작성 및 테스트를 강화하며, 오픈소스 커뮤니티는 안전한 소프트웨어 생태계를 위한 협력과 공유의 문화를 더욱 확립할 것입니다. 이러한 노력들이 상호 협력적으로 이루어진다면, 사이버 보안 위협으로부터 안전한 디지털 환경을 조성하고, 기업의 지속 가능한 성장은 물론, 국가의 경제적 경쟁력을 한층 더 강화하는 데 기여할 수 있을 것입니다.
Act (법률)과 Directive(지침)의 구분
Act 의미: EU의 법률 중 가장 강력한 법적 구속력을 가지는 법규, Member States(회원국)들은 Act를 그대로 이행해야 하며, 별도의 국내 법률 제정 없이 직접적으로 국민에게 적용
Directive 의미: 회원국들이 목표를 달성하기 위한 구체적인 방법을 스스로 정하도록 하는 법규. Directive는 결과만을 제시하고, 그 결과를 달성하기 위한 수단은 각 회원국이 자국의 법 체계에 맞게 제정
참 고 문 헌
- https://www.kisa.or.kr/2060204/form?postSeq=15&page=1#fnPostAttachDownload SW 공급망 보안 가이드라인 1.0 (전체본, 요약본)
- https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act EU Cyber Resilience Act
- https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_5375 Cyber Resilience Act - Questions and Answers
- https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-factsheet Cyber Resilience Act - Factsheet
- https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-impact-assessment Cyber Resilience Act - Impact assessment
- https://digital-strategy.ec.europa.eu/en/policies/nis2-directive Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive)
- https://k-erc.eu/2023/12/europe-trends/16999/ U, IoT 사이버보안 강화 위한 사이버복원력법안(CRA) 최종 확정(12.2)
- https://k-erc.eu/2023/02/europe-trends/12934/ NIS2 지침 및 CER 지침 발효(1.16)
저작권 정책
K-ICT 클라우드혁신센터의 저작물인 『기업에서 오픈 소스와 SBOM 관리의 중요성 및 EU 보안사례』은 K-ICT 클라우드혁신센터에서 삼성전자 반도체 한충희 수석에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다. 다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.