“SBOM 의무화 시대 온다”… 쿠도커뮤니케이션·Black Duck, 소프트웨어 공급망 보안 대응 전략 제시

소프트웨어(SW) 개발 환경에서 오픈소스 활용이 급증하고 공급망 공격 위협이 확대되면서, 기업의 보안 전략이 근본적인 전환점을 맞고 있다. 특히 소프트웨어 자재명세서(SBOM) 기반의 공급망 가시성 확보가 글로벌 보안 규제 대응의 핵심 요소로 부상하면서, 국내 기업들의 대응 필요성도 빠르게 커지고 있다.

정보통신기술(ICT) 전문기업 쿠도커뮤니케이션(대표 김용식)은 글로벌 애플리케이션 보안 기업 블랙덕(Black Duck)과 함께 이러한 시장 변화에 대응하기 위한 'SW 공급망 보안 전략'을 제시했다.

현재 글로벌 시장에서는 미국 행정명령을 비롯해 SBOM 제출 요구가 확대되며, SW 구성요소에 대한 투명성과 추적 가능성이 중요한 평가 기준으로 자리 잡고 있다. 이에 따라 기업은 단순 취약점 탐지를 넘어, 코드 구성 요소와 라이선스, 의존성까지 포함한 통합 관리 체계를 구축해야 하는 상황이다.

블랙덕은 이러한 요구에 대응하는 대표적인 애플리케이션 보안(AppSec) 플랫폼으로, 오픈소스 구성요소 식별부터 취약점 분석, 라이선스 리스크 관리, SBOM 생성까지 통합적으로 제공한다. 특히 SPDX, CycloneDX 등 국제 표준 포맷 기반의 SBOM을 자동 생성하고 글로벌 규제 대응을 지원한다.

또한 기존 AppSec이 '취약점 탐지' 중심이라면, 최근에는 실제 공격 가능성과 비즈니스 영향도를 기준으로 위험을 판단하는 방향으로 진화하고 있다. 블랙덕은 이러한 흐름에 맞춰 '실제 위험 기반' 보안 모델을 제시하고 있다.

기존 AppSec은 개발 완료 이후 사후 점검 방식으로 운영되어 개발과 보안 간 충돌이 발생하는 반면, Black Duck은 개발 단계에서 보안을 내재화하고 코드·오픈소스·SBOM·규제까지 통합 가시성을 제공한다.

특히 오픈소스, 외주 코드, AI 생성 코드의 비중이 증가하면서 기업이 관리해야 할 보안 리스크는 더욱 복잡해지고 있다. 실제로 많은 기업이 취약점 수는 많지만 어떤 것이 '실제 위험'인지 판단하기 어려운 상황에 놓여 있으며, 수작업 대응으로 인해 개발 생산성과 보안 수준이 동시에 저하되는 문제가 발생하고 있다.

이러한 문제를 해결하기 위해 블랙덕은 업계 최대 규모의 오픈소스 지식베이스를 기반으로 SW 공급망 전반의 취약점과 라이선스 리스크를 자동 분석하고, 우선순위를 설정해 대응할 수 있도록 지원한다.

쿠도커뮤니케이션은 블랙덕과의 협력을 통해 국내 기업들이 DevSecOps 기반의 통합 보안 체계를 구축할 수 있도록 지원할 계획이다. 특히 금융·공공·엔터프라이즈 시장을 중심으로 SBOM 대응, 오픈소스 보안 관리, 규제 대응 컨설팅까지 확대할 방침이다.

쿠도커뮤니케이션 정보보안 사업부장 김철봉 부사장은 “SW 공급망 보안은 더 이상 선택이 아닌 필수이며, SBOM 기반 관리 체계는 글로벌 표준으로 자리 잡고 있다”며 “국내 기업들이 규제 대응과 동시에 보안 경쟁력을 확보할 수 있도록 블랙덕과 함께 지원을 강화할 것”이라고 밝혔다.

이경민 기자 kmlee@etnews.com