클라우드 기반 AI・SW 스타트업 구름이 통합개발환경 구름IDE에 보안 취약점을 분석하는 SBOM을 탑재한다. 구름은 “SW 개발 초기 단계부터 내부 취약점을 파악하고 위험 요인에 효율적으로 대응할 수 있도록 해 SW 공급망 보안을 강화하겠다”며 23일 이같이 밝혔다.
SW 공급망이란 개발, 배포, 실행, 유지보수 등 SW 활용을 둘러싼 모든 과정을 의미한다. 지난 2021년, 미국 정부는 소프트웨어 공급망 보안을 강화하기 위한 행정명령을 발표했다. 이로써, 미국 정부기관에 공급하는 기업이 SW 개발 단계에서 사용되는 오픈 소스의 라이선스 및 보안 취약점 정보를 담은 ‘SBOM(Software Bill of Materials)’을 작성하여 제출해야 한다. 이러한 조치로 인해 SBOM의 중요성은 상당히 증대됐다.
구름은 이러한 흐름을 반영하여 구름IDE에 SBOM 생성 기능을 도입했다. 구름IDE 사용자는 컨테이너에서 공급자 이름, 구성요소 이름, 구성요소 버전 등을 포함한 SBOM 보고서를 생성할 수 있으며, 주요 SBOM 포맷인 SPDX와 사이클론(Cyclone)DX의 형식으로 자동 출력할 수 있다.
오픈소스 취약점 정보를 식별하여 제공함으로써 SW 개발자들은 보안 위협에 대응하고 안전한 버전으로 오픈소스를 업데이트 할 수 있다. 특히 주요 정보를 다루는 공공기관이나 금융, 게임, 커머스 업계에서 오픈소스 라이선스를 확인하고, 발생가능한 법적 문제를 사전에 예방할 수 있을 것으로 기대된다.
구름의 곽경주 CSO는 “한국은 물론 전세계의 구름IDE 사용자들에게 소프트웨어의 보안을 우선시하면서도 효율적으로 작업할 수 있는 환경을 제공하기 위해 노력하고 있다”며 “SBOM 기능을 지속적으로 개선하고 확장하여 개발자들이 보다 신뢰할 수 있는 소프트웨어를 개발할 수 있도록 지원하겠다”고 말했다.
