블랙덕, SBOM 기반 소프트웨어 공급망 보안 전략 발표

2026-05-13 12:28
편집부 press@bodnara.co.kr

유럽연합(EU)의 사이버 복원력 법안(CRA) 도입이 가시화되면서, 소프트웨어 공급망 보안과 규제 대응에 대한 기업들의 관심이 빠르게 높아지고 있다. EU CRA는 2024년 12월 10일부로 공식 발효되었으며, 세부 이행 요건은 2025년 12월 공표되었다. 취약점 관리 의무는 2026년 9월부터 적용되며, 전체 적합성 요건에 대한 단계적 집행은 2026년 9월~2027년 12월에 걸쳐 이루어질 예정이다.

이러한 흐름 속에서 ICT 전문기업 쿠도커뮤니케이션은 AI 기반 애플리케이션 보안 분야의 글로벌 리더 ‘블랙덕(Black Duck)’과 함께, SBOM(Software Bill of Materials, 소프트웨어 자재명세서)을 기반으로 하되 이를 넘어서는 확장 가능한 소프트웨어 공급망 보안 전략과 EU CRA 취약점 요구사항 충족 방안을 제시했다.

이번 행사에는 Black Duck의 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄(Head of Software Supply Chain Risk Strategy)가 방한해 직접 발표를 진행했다. Tim Mackey는 소프트웨어 공급망 보안 분야의 글로벌 전문가로, RSA, Black Hat, Open Source Summit, KubeCon 등 주요 국제 컨퍼런스에서 발표를 이어온 권위자이며, EU CRA를 포함한 글로벌 소프트웨어 보증 활동에 직접 참여하고 있다.

그는 EU CRA의 핵심 요구사항으로 ▲소프트웨어 구성 요소에 대한 투명성 확보 ▲취약점 관리 및 대응 체계 구축 ▲지속적인 보안 관리 체계 등을 제시하며, 이를 위한 핵심 수단으로 SBOM의 중요성을 강조하면서도, SBOM만으로는 CRA 요구사항을 완전히 충족할 수 없다고 밝혔다. CRA가 제시하는 기대 수준은 ▲제3자 취약점 제로(Zero) ▲기본 보안(Security by Default) ▲취약점 신속 보고 ▲테스트 의사결정 기록 관리 ▲강력한 오픈소스 거버넌스 ▲적합성 진술서(Conformity Statement) 확보 등으로 구성된다.

블랙덕 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄은 "EU CRA는 단순한 규제를 넘어, 애플리케이션 및 운영 사이버보안 관행의 기준선이자, 제조사가 제품 전체 수명주기에 걸쳐 잘 설계되고 안전한 소프트웨어를 생산하겠다는 의지를 명확히 입증하는 수단으로 기능한다"고 설명했다. 이어 "포괄적인 취약점 및 리스크 관리 프로그램의 일환으로 활용될 때, SBOM은 공급망 파트너 간 신뢰를 전달하는 역할을 한다"고 강조했다.

그는 또한 CRA 준수를 위해서는 단순 SBOM 생성 이상의 다층적 접근이 필요하다고 설명했다. 구체적으로 △SCA(소프트웨어 구성 분석)를 통한 제3자 리스크 관리 및 취약점 매핑 △정적 분석(Coverity)을 통한 자사 코드 취약점 제거 및 안전한 API•데이터 처리 구현 △퍼징 테스트(Defensics)를 통한 프로토콜 수준의 공급망 검증 및 악조건 내 제품 동작 확인이 모두 요구된다. CRA는 2026년 9월부터 적용되는 취약점 공개 의무도 포함하며, 이는 유럽 취약점 데이터베이스(EUVD)를 포함한 다수 채널에 대한 보고를 의무화한다. 이어 “특히 글로벌 시장을 대상으로 서비스를 제공하는 기업의 경우, EU CRA 대응은 선택이 아닌 필수 요소가 될 것”이라고 덧붙였다.

CRA는 EU/EEA 내 판매 여부를 기준으로 적용되며, 제품의 개발•생산•본사 소재지와는 무관하다. 이는 EU 시장에 소프트웨어 포함 제품을 판매하는 국내 기업에도 동일하게 적용된다는 점에서, 적극적인 선제 대응이 요구된다. 위반 시에는 허위 진술에 대해 전 세계 매출의 2.5%, 일반 적합성 위반에 대해 4%에 달하는 과징금이 부과될 수 있으며, EU 공동시장 접근권 박탈이라는 최대 제재도 규정되어 있다. CRA 적합성 평가는 크게 세 가지 방식으로 구분된다. 제조사가 자체적으로 검증•선언하는 모듈 A(내부 통제 기반), 제3자 인증기관(Notified Body)이 설계 및 개발을 심사하는 모듈 B+C(EU형식 시험), 품질경영시스템 전반을 인증기관이 평가하는 모듈 H(전체 품질보증)가 있으며, 제품 유형 및 위험 분류에 따라 적절한 방식이 적용된다. 모든 방식에서 CE 마킹 획득이 최종 요건으로 명시되어 있다..

팀 맥키(Tim Mackey)는 “규제를 단순한 비용 요인으로 볼 것이 아니라 전략적 기회로 접근해야 한다. 자동차 산업이 차량 내 소프트웨어, 제조, 클라우드, 네트워크 인프라 전반에 걸쳐 보안 생태계를 구축한 것처럼, 소프트웨어를 포함하는 모든 제품 제조사는 보안을 개발 프로세스에 내재화해야 한다"라고 설명했다.

Black Duck은 오픈소스 소프트웨어 보안 및 관리 분야에서 약 25년에 가까운 경험을 바탕으로, SBOM 생성 및 관리, 취약점 분석, 오픈소스 컴포넌트 상태 관리 등 소프트웨어 공급망 전반에 대한 가시성과 통제 기능을 제공하고 있다. EU CRA 대응을 위한 Black Duck의 통합 접근법은 ▲파이프라인 보안(Pipeline Security)을 통한 빌드 워크플로우 리스크 제거 ▲SCA를 통한 소프트웨어 공급망 가시성•통제 확보 ▲악성 코드 및 취약점 탐지 ▲SBOM 관리를 통한 업스트림•다운스트림 공급망 투명성 강화로 구성된다. 이를 통해 기업은 SBOM, VDR(취약점 공개 보고서), VEX(취약점 익스플로잇 가능성 보고서), 적합성 진술서 등 CRA가 요구하는 핵심 문서를 체계적으로 생성•관리할 수 있다.

Black Duck 국내 공인 총판 쿠도커뮤니케이션 김철봉 부사장은 "EU CRA와 같은 글로벌 규제 환경 변화는 국내 기업에도 직접적인 영향을 미칠 것"이라며 "Black Duck과 함께 기업들이 선제적이고 체계적인 규제 대응 방식을 취할 수 있도록 지원을 강화해 나갈 계획"이라고 밝혔다.

Black Duck 는 25년 이상의 업력을 보유한 글로벌 애플리케이션 보안 기업으로, 오픈소스 소프트웨어(OSS) 보안과 소프트웨어 공급망 관리 분야에서 시장을 선도하고 있다. 방대한 보안 인텔리전스와 AI 기반 분석 기술을 바탕으로, 기업이 안전하고 규제에 부합하는 소프트웨어를 개발•운영할 수 있도록 지원한다.

쿠도커뮤니케이션㈜은 정보보안, 물리보안, 융합보안관제 플랫폼을 제공하는 토탈 보안 전문기업이다. 쿠도커뮤니케이션㈜ 정보보안사업부는 Black Duck, TXOne Networks, Netskope, ICTK, Forescout, Extreme Networks의 국내 공인 총판 및 PaloAlto Networks, Illumio의 파트너십을 통해 OT 보안, 엔드포인트 보안, 네트워크 보안, IoT보안, 클라우드 보안까지 토탈 보안 솔루션을 제공하고 있다.

닉네임

비회원

보드나라 많이 본 뉴스

구글 크롬 브라우저, 동의없이 AI 모델 다운로드 논란

MS 엣지 브라우저, 실행만 해도 저장 암호가 메모리에 평문 노출

LG디스플레이, 게이미용 720Hz OLED와 3세대 텐덤 OLED 기술 공개

보드나라 많이 본 기사

간절히 바란 꿈은 이루어진다, 라이젠 9 9950X3D2 듀얼 에디션

반도체 대란이 만든 PC 시장 변화, 완제품PC 구매에서 업그레이드의 시대로 가려면 필요한 것은?

고립된 달 위에서 피어난 유대와 생존, 프래그마타(PRAGMATA)

보드나라 최신 기사

[05/13] 맥스엘리트, 140mm 30T 고성능 팬 4개 탑재, 1stPlayer AU8 빅포 ARGB 케이스 출시

[05/13] 앱코, SOAI 협업 흥행 기계식 키보드 'AF108PRO' 신규 컬러 와인 그레이 출시

[05/13] 콕스, 손바닥 아치에 맞춘 인체공학 마우스 'CEM70' 출시

[05/13] 가민, 러닝 GPS 스마트워치 ‘포러너 70’ ‘포러너 170’ 출시

[05/13] 블랙덕, SBOM 기반 소프트웨어 공급망 보안 전략 발표

[05/13] 한국후지필름BI, '2026 파트너스 데이' 성료

[05/13] 초인기 캐릭터 「호토리」 등장, 오픈월드 RPG 기대작 <이환> 첫 한정 보드 업데이트

[05/13] 스마트카라, 신제품 ‘블레이드X 그라나이트’ 런칭 프로모션 진행

[05/13] 하이웍스, 그룹웨어 프리미엄 출시... AI 문서 생성·공동편집·저장까지 한 흐름으로

[05/13] 와콤, 360도 회전 기능 탑재한 ‘와콤 아트펜 2’ 출시

[05/13] 파나소닉코리아, KOBA 2026 참가…실제 제작 환경 반영 통합 워크플로우 제시

[05/13] 벨킨, 충전과 거치 기능 갖춘 닌텐도 스위치2 전용 케이스 출시

[05/13] ST마이크로일렉트로닉스, 산업 및 자동차 애플리케이션의 공간·에너지·부품원가 절감하는 광대역 3축 진동 센서 출시

[05/13] 폭스바겐, 골프 GTI 50주년 기념 뉘르부르크링 24시에서 ‘ID. 폴로 GTI’ 세계 최초 공개

[05/13] 기가바이트, ‘역대급 스펙’ 4세대 QD-OLED 모니터 MO32U24 재입고 및 리뷰 이벤트 진행

[05/13] MSI, 조립의 즐거움을 함께! ‘참 쉬운 컴퓨터 만들기 대회’ 참가자 모집

[05/13] 에즈윈, ASRock Deskmini X300/2.5G 베어본 모델 출시기념 경품행사 실시

[05/13] 벤큐, AI 기능 강화한 전자칠판 RM05 시리즈 국내 출시

[05/13] 아이티블루 x 이베이 RAZER 바실리스크 V3 Pro 긴급 진행 '타임딜' 한정 프로모션

[05/13] G마켓 빅스마일데이 맞아 MSI 노트북 초특가 판매 진행

로그인 | 이 페이지의 PC버전