한국정보보호산업협회(KISIA)가 고려대 컨소시엄과 함께 '2025 국내·외 소프트웨어(SW) 공급망 보안 현황 및 SW자재명세서(SBOM) 도구 실증 결과보고서'를 발간했다.
이번 실증보고서엔 SW 공급망 보안의 최신 동향을 분석하고 연구·개발(R&D)로 개발된 'IoTcube 2.0'(HatBOM)을 활용해 실제 기업 솔루션에 적용한 실증 결과를 담았다. 특히 기존 정보보호 산업을 넘어 의료기기 제조 분야까지 범위를 확대한 동시에 취약점이 솔루션에 영향을 미치는지를 확인하는 '취약점 영향도 분석 문서'(VEX) 발행 기능을 함께 실증했다.
실증 결과, 참여 기업들은 단순한 자산 식별을 넘어 'SBOM에 기반한 SW 공급망 보안 관리체계'의 수립 토대를 마련했다. 또 의료기기 제조사의 경우, 미국 식품의약국(FDA) 등 글로벌 규제 기관의 SBOM 제출 의무화에 대비한 '의료기기 인허가 대응 전략'을 수립했다.
이번 실증보고서는 과학기술정보통신부의 재원으로 정보통신기획평가원(IITP)의 지원을 받아 수행됐다. KISIA 홈페이지에서 확인할 수 있다.
조재학 기자 2jh@etnews.com
