블랙덕, SBOM 기반 소프트웨어 공급망 보안 전략 발표

2026-05-13 12:28
편집부 press@bodnara.co.kr

유럽연합(EU)의 사이버 복원력 법안(CRA) 도입이 가시화되면서, 소프트웨어 공급망 보안과 규제 대응에 대한 기업들의 관심이 빠르게 높아지고 있다. EU CRA는 2024년 12월 10일부로 공식 발효되었으며, 세부 이행 요건은 2025년 12월 공표되었다. 취약점 관리 의무는 2026년 9월부터 적용되며, 전체 적합성 요건에 대한 단계적 집행은 2026년 9월~2027년 12월에 걸쳐 이루어질 예정이다.

이러한 흐름 속에서 ICT 전문기업 쿠도커뮤니케이션은 AI 기반 애플리케이션 보안 분야의 글로벌 리더 ‘블랙덕(Black Duck)’과 함께, SBOM(Software Bill of Materials, 소프트웨어 자재명세서)을 기반으로 하되 이를 넘어서는 확장 가능한 소프트웨어 공급망 보안 전략과 EU CRA 취약점 요구사항 충족 방안을 제시했다.

이번 행사에는 Black Duck의 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄(Head of Software Supply Chain Risk Strategy)가 방한해 직접 발표를 진행했다. Tim Mackey는 소프트웨어 공급망 보안 분야의 글로벌 전문가로, RSA, Black Hat, Open Source Summit, KubeCon 등 주요 국제 컨퍼런스에서 발표를 이어온 권위자이며, EU CRA를 포함한 글로벌 소프트웨어 보증 활동에 직접 참여하고 있다.

그는 EU CRA의 핵심 요구사항으로 ▲소프트웨어 구성 요소에 대한 투명성 확보 ▲취약점 관리 및 대응 체계 구축 ▲지속적인 보안 관리 체계 등을 제시하며, 이를 위한 핵심 수단으로 SBOM의 중요성을 강조하면서도, SBOM만으로는 CRA 요구사항을 완전히 충족할 수 없다고 밝혔다. CRA가 제시하는 기대 수준은 ▲제3자 취약점 제로(Zero) ▲기본 보안(Security by Default) ▲취약점 신속 보고 ▲테스트 의사결정 기록 관리 ▲강력한 오픈소스 거버넌스 ▲적합성 진술서(Conformity Statement) 확보 등으로 구성된다.

블랙덕 팀 맥키(Tim Mackey) 소프트웨어 공급망 위협 전략 부문 총괄은 "EU CRA는 단순한 규제를 넘어, 애플리케이션 및 운영 사이버보안 관행의 기준선이자, 제조사가 제품 전체 수명주기에 걸쳐 잘 설계되고 안전한 소프트웨어를 생산하겠다는 의지를 명확히 입증하는 수단으로 기능한다"고 설명했다. 이어 "포괄적인 취약점 및 리스크 관리 프로그램의 일환으로 활용될 때, SBOM은 공급망 파트너 간 신뢰를 전달하는 역할을 한다"고 강조했다.

그는 또한 CRA 준수를 위해서는 단순 SBOM 생성 이상의 다층적 접근이 필요하다고 설명했다. 구체적으로 △SCA(소프트웨어 구성 분석)를 통한 제3자 리스크 관리 및 취약점 매핑 △정적 분석(Coverity)을 통한 자사 코드 취약점 제거 및 안전한 API•데이터 처리 구현 △퍼징 테스트(Defensics)를 통한 프로토콜 수준의 공급망 검증 및 악조건 내 제품 동작 확인이 모두 요구된다. CRA는 2026년 9월부터 적용되는 취약점 공개 의무도 포함하며, 이는 유럽 취약점 데이터베이스(EUVD)를 포함한 다수 채널에 대한 보고를 의무화한다. 이어 “특히 글로벌 시장을 대상으로 서비스를 제공하는 기업의 경우, EU CRA 대응은 선택이 아닌 필수 요소가 될 것”이라고 덧붙였다.

CRA는 EU/EEA 내 판매 여부를 기준으로 적용되며, 제품의 개발•생산•본사 소재지와는 무관하다. 이는 EU 시장에 소프트웨어 포함 제품을 판매하는 국내 기업에도 동일하게 적용된다는 점에서, 적극적인 선제 대응이 요구된다. 위반 시에는 허위 진술에 대해 전 세계 매출의 2.5%, 일반 적합성 위반에 대해 4%에 달하는 과징금이 부과될 수 있으며, EU 공동시장 접근권 박탈이라는 최대 제재도 규정되어 있다. CRA 적합성 평가는 크게 세 가지 방식으로 구분된다. 제조사가 자체적으로 검증•선언하는 모듈 A(내부 통제 기반), 제3자 인증기관(Notified Body)이 설계 및 개발을 심사하는 모듈 B+C(EU형식 시험), 품질경영시스템 전반을 인증기관이 평가하는 모듈 H(전체 품질보증)가 있으며, 제품 유형 및 위험 분류에 따라 적절한 방식이 적용된다. 모든 방식에서 CE 마킹 획득이 최종 요건으로 명시되어 있다..

팀 맥키(Tim Mackey)는 “규제를 단순한 비용 요인으로 볼 것이 아니라 전략적 기회로 접근해야 한다. 자동차 산업이 차량 내 소프트웨어, 제조, 클라우드, 네트워크 인프라 전반에 걸쳐 보안 생태계를 구축한 것처럼, 소프트웨어를 포함하는 모든 제품 제조사는 보안을 개발 프로세스에 내재화해야 한다"라고 설명했다.

Black Duck은 오픈소스 소프트웨어 보안 및 관리 분야에서 약 25년에 가까운 경험을 바탕으로, SBOM 생성 및 관리, 취약점 분석, 오픈소스 컴포넌트 상태 관리 등 소프트웨어 공급망 전반에 대한 가시성과 통제 기능을 제공하고 있다. EU CRA 대응을 위한 Black Duck의 통합 접근법은 ▲파이프라인 보안(Pipeline Security)을 통한 빌드 워크플로우 리스크 제거 ▲SCA를 통한 소프트웨어 공급망 가시성•통제 확보 ▲악성 코드 및 취약점 탐지 ▲SBOM 관리를 통한 업스트림•다운스트림 공급망 투명성 강화로 구성된다. 이를 통해 기업은 SBOM, VDR(취약점 공개 보고서), VEX(취약점 익스플로잇 가능성 보고서), 적합성 진술서 등 CRA가 요구하는 핵심 문서를 체계적으로 생성•관리할 수 있다.

Black Duck 국내 공인 총판 쿠도커뮤니케이션 김철봉 부사장은 "EU CRA와 같은 글로벌 규제 환경 변화는 국내 기업에도 직접적인 영향을 미칠 것"이라며 "Black Duck과 함께 기업들이 선제적이고 체계적인 규제 대응 방식을 취할 수 있도록 지원을 강화해 나갈 계획"이라고 밝혔다.

Black Duck 는 25년 이상의 업력을 보유한 글로벌 애플리케이션 보안 기업으로, 오픈소스 소프트웨어(OSS) 보안과 소프트웨어 공급망 관리 분야에서 시장을 선도하고 있다. 방대한 보안 인텔리전스와 AI 기반 분석 기술을 바탕으로, 기업이 안전하고 규제에 부합하는 소프트웨어를 개발•운영할 수 있도록 지원한다.

쿠도커뮤니케이션㈜은 정보보안, 물리보안, 융합보안관제 플랫폼을 제공하는 토탈 보안 전문기업이다. 쿠도커뮤니케이션㈜ 정보보안사업부는 Black Duck, TXOne Networks, Netskope, ICTK, Forescout, Extreme Networks의 국내 공인 총판 및 PaloAlto Networks, Illumio의 파트너십을 통해 OT 보안, 엔드포인트 보안, 네트워크 보안, IoT보안, 클라우드 보안까지 토탈 보안 솔루션을 제공하고 있다.

닉네임

비회원

보드나라 많이 본 뉴스

DDR2 메모리, 2분기 최대 60% 3분기 최대 40% 가격 인상 전망

커스텀 스팀머신의 시대? 밸브 스팀OS에 AMD 외장 그래픽 지원 시작

예약 판매 시작한 GTA VI 가격 공개, 예상보다 낮은 인상폭

보드나라 많이 본 기사

뿌리깊은 나무의 감성 담긴 하이엔드 메인보드, 기가바이트 X870E AERO X3D DARK WOOD 제이씨현

포르자 호라이즌 6와 프래그마타를 즐길 때, 라데온 RX 9000 시리즈 vs 지포스 RTX 50 시리즈

왕의 귀환-AM5 지원 확대-에이전트 컴퓨팅 확장, AMD 컴퓨텍스 발표

보드나라 최신 기사

[05/13] 위메이드, 공식 블로그 ‘WEMADE Stories’ 오픈

[05/13] 위즈코어, CADian에 AI 접목.. 설계부터 제조까지 연결하는 플랫폼 구축

[05/13] BYD코리아, 씨라이언 6 DM-i 공개 및 사전계약 실시

[05/13] USB-C 포트 하나로 확장성과 충전까지, ipTIME UC305HDMI2 / UC306HDMI2-1G

[05/13] 넥슨 ‘블루 아카이브’, 디스커스 애슬레틱 및 무신사와 2차 컬래버레이션 실시!

[05/13] 라이엇 게임즈, ‘리프트바운드’ 9월 한국 정식 출시

[05/13] ‘붕괴3rd’, 8.9 버전 ‘깃털이 내리는 구원’ 업데이트 진행

[05/13] 넥슨, ‘마비노기 모바일’ 시즌2 ‘빛과 어둠’ 업데이트 실시

[05/13] 뉴노멀소프트 ‘창세기전 키우기’, 서비스 100일 기념 업데이트 진행

[05/13] 크래프톤, 배틀그라운드 e스포츠 국가대항전 ‘PNC 2026 in Seoul’ 개막

[05/13] 밸로프, 카오스W 무한 경쟁의 서막 .. 공성전 업데이트

[05/13] 포트나이트, 그래미 3관왕 ‘올리비아 로드리고’ 아이콘 시리즈 합류

[05/13] OpenAI와 브로드컴, 자체 설계 LLM 최적화 추론 칩 할라피노(Jalapeno) 공개

[05/13] 라이카, SL 시스템의 기술력을 집약한 풀프레임 카메라 ‘라이카 SL3-P’ 출시

[05/13] e스포츠 재단, ‘e스포츠 네이션스 컵 2026’ 리그 오브 레전드 지역 예선 성료

[05/13] 젠하이저, 노이만 ‘MT 48’에 플러그인 기반의 오디오 처리 기능 추가

[05/13] 커스텀 스팀머신의 시대? 밸브 스팀OS에 AMD 외장 그래픽 지원 시작

[05/13] 서린씨앤아이, M12Q 쿨링팬 5개 장착된 '써멀라이트 A70 WITH M12Q SERIES' 케이스 출시

[05/13] MS, 8월부터 엑스빅스 시리즈 X\|S 글로벌 가격 인상 발표

[05/13] 금호타이어, 타이어프로 온라인몰 휴가 준비 이벤트

로그인 | 이 페이지의 PC버전