국내외 보안 시장에서 주목한 인공지능(AI) 소식을 전합니다. AI 기술을 악용한 최신 위협부터, AI 기술을 활용한 보안 전략까지 우리가 주목해야 할 쟁점을 소개합니다. AI 보안 시대를 준비하고 있다면, 디지털데일리 'AI 가드'를 살펴보세요. <편집자주>

[디지털데일리 김보민기자] "소프트웨어자재명세서(SBOM)는 설계 단계에서부터 소프트웨어를 안전하게 구축하도록 돕는 필수 조건입니다. 다양한 산업·지역·국가에서 소프트웨어가 널리 활용되며 위협 요인 또한 증가한 만큼, 공급망 가시성을 확보하는 것이 중요합니다."

지난 3일(현지시간), 미국 사이버보안및인프라보안청(CISA)과 주요국 19개 파트너 기관은 이러한 내용의 공동 성명문을 발표했다. 성명문 명단에는 호주, 캐나다, 프랑스, 독일, 이탈리아, 인도, 네덜란드, 뉴질랜드, 폴란드, 일본, 싱가포르 등의 주요 사이버 기관이 이름을 올렸다. 한국에서는 국가정보원과 한국인터넷진흥원(KISA)이 참여했다.

이들 기관은 성명문과 함께 SBOM에 대한 기본 가이드라인을 공개했다. 마두 고투무칼라(Madhu Gottumukkala) CISA 청장대행은 "정부와 산업계가 직면한 사이버 위협은 소프트웨어 공급망은 물론, 구성 요소의 보안이 얼마나 중요한지 보여준다"며 "궁극적으로 소프트웨어 개발과 활용에 있어 의사 결정을 개선하기 위한 노력"이라고 강조했다.

SBOM은 소프트웨어를 개발하는 과정에서 외부 오픈소스 등을 통해 유입될 수 있는 보안 위협과 라이선스 문제를 관리하는 일종의 자재명세서다. 제조 산업에서 활용하는 '부품표(BOM)'를 착안한 개념으로, 특정 제품에 탑재된 소프트웨어 내역을 의무적으로 공개하거나 시스템 장애 등 보안 위협이 발생했을 때 원인을 파악할 수 있도록 돕는 도구로 여겨지고 있다.

주요국에서는 인공지능(AI) 시대를 맞아 소프트웨어 공급망을 뚫는 보안 위협이 거세진 만큼, SBOM의 중요성을 강조하고 있다. 선도 국가인 미국의 경우, 2021년 SBOM 최소 요건을 발표한 이후 4년 만에 개정을 예고하기도 했다. 이전에는 필수 데이터 필드에 대한 항목이 권장되는 수준에 그쳤다면, 이제는 컴포넌트 해시·라이선스 툴 이름·생성 문맥 등이 명시적으로 요구될 전망이다. 아울러 SBOM 요소의 정의와 용어를 명확히 하고 중복 요소를 제거하거나 통합하는 내용이 포함됐다. 이번 초안에 대한 의견 수렴은 10월3일까지 진행된다.

일각에서는 AI 요소를 더한 SBOM의 중요성 또한 커질 것이라는 관측이 제기된다. AI 보안기업 노마시큐리티는 "기존 소프트웨어 시스템이 예측 가능한 코드 경로를 따른다면, AI 시스템은 비결정적(Non-Deterministic)이라는 특징이 있다"며 "AI 시스템은 높은 수준의 자율성을 가지고 작동하고, 명시적인 프로그램 명령이 아닌 방대한 데이터셋에서 학습한 패턴을 기반으로 결정을 내린다"고 설명했다. 이어 "이러한 특성은 동일한 입력이 때때로 다른 출력을 생성할 수 있다는 점을 의미한다"며 "AI 행동을 예측하기 어렵다면, 그만큼 조직이 예상하지 못한 위험에 노출될 가능성이 있다는 뜻"이라고 경고했다.

주요국이 AI-BOM에 대한 관심 또한 가지기 시작한 이유다. 이번 성명문에는 관련 내용이 포함되지 않았지만, 보안업계에서는 추후 AI에 특화된 SBOM 개념 또한 명문화될 것으로 보고 있다. 'AI-BOM(인공지능 자재명세서)'가 대표적이다. AI-BOM은 SBOM 개념을 AI 영역으로 확장한 용어다. 조직은 AI-BOM을 활용해 제품과 서비스를 비롯해 내부에서 사용하는 AI 모델이 어떤 소프트웨어 구성 요소, 데이터셋, 알고리즘, 프레임워크, 라이선스를 포함하고 있는지 식별해 문서화할 수 있을 전망이다.

한국의 경우 SBOM 논의에 활발히 참여하고 있지만, 국내 공공과 민간 시장에서 이에 대한 인식 수준은 아직 높지 않은 실정이다. 정부가 자체 가이드라인을 배포하며 움직임에 나섰지만 인식이 이를 따라잡지 못해 발전 속도가 더디다는 평가가 이어지고 있다.

다만 이번 공동 성명문에 한국이 참여 기관으로 이름을 올린 만큼, 추후 SBOM 인식 개선에 대한 활동 또한 활발해질 것으로 기대된다. 성명문은 "SBOM 데이터는 취약점 데이터베이스, 보안 권고문, 공급망 위협 정보, 오픈소스 프로젝트 정보, 지원 및 서비스 종료 정보 등 다른 데이터셋과 연결될 수 있다"며 "공급망 위협 관리, 취약점 관리, 자산 관리에 통합되는 것이 바람직할 것"이라고 강조했다.