BOM의 유래 — 제조업의 자재명세서에서 식품 성분표까지
BOM(Bill of Materials, 자재명세서)은 원래 제조업 용어입니다. 하나의 완제품을 만들기 위해 필요한 모든 부품·원자재·수량·조립 관계를 계층적으로 정리한 목록으로, 1960~70년대 MRP(자재소요계획) 시스템의 핵심 데이터로 자리 잡으며 산업 표준 개념이 되었습니다. "무엇으로 만들어졌는지 알아야 관리할 수 있다"는 BOM의 철학은 이후 여러 산업으로 확장됩니다.
그중 가장 극적인 사례가 식품 산업입니다. 성분 공개는 자발적으로 이뤄지지 않았습니다. 대형 사고가 규제를 낳고, 규제가 표준을 낳는 패턴이 반복됐습니다.
골드너(Goldner) 통조림 스캔들
영국 해군에 납품된 장기 보존용 통조림에서 대량 부패가 적발되며 군 병력의 생명이 위협받은 사건. "내용물을 알 수 없는 공급품"의 위험이 사회적 문제로 부상했습니다.
영국 식품·음료 불량화 방지법
식품 오염·위변조를 처벌하는 최초기의 근대적 식품 규제. 공급망 투명성이 '법의 영역'으로 들어온 출발점입니다.
미국 순수식품의약품법(Pure Food and Drug Act)
싱클레어의 「정글」이 폭로한 시카고 도축장 실태가 여론을 움직여 제정. 허위 표시 금지와 성분 표기 의무의 토대가 됐습니다.
미국 영양표시교육법(NLEA) → Nutrition Facts 패널
오늘날 우리가 아는 표준화된 '영양성분표'가 모든 포장식품에 의무화. 약 140년에 걸쳐 "성분 공개"가 산업의 기본값이 되었습니다.
같은 질문이 소프트웨어에 도착
"이 소프트웨어는 무엇으로 만들어졌는가?" — 현대 소프트웨어의 상당 부분이 오픈소스 컴포넌트로 조립되면서, 식품과 동일한 투명성 요구가 SW 공급망에 제기됩니다.
식품 성분표가 140년 걸린 길을 SBOM은 수년 만에 압축적으로 걷고 있습니다. 공통 패턴은 「대형 사고 → 규제 입법 → 표준 형식 → 산업 기본값」입니다. 고객 대화에서 SBOM을 설명할 때 이 유비(성분표)는 가장 직관적인 도입부입니다.
SBOM의 등장과 현황 — 사고가 만든 규제, 규제가 만든 표준
소프트웨어 자재명세서(SBOM) 개념 자체는 2010년대부터 존재했지만(SPDX 프로젝트 2010년 시작, CycloneDX 2017년 시작), 이를 산업 전체의 의무로 끌어올린 것은 연쇄적인 공급망 보안 사고였습니다.
SolarWinds 사태
빌드 시스템이 오염된 정식 업데이트가 수천 개 조직에 배포. "신뢰하던 공급사조차 공격 경로가 될 수 있다"는 사실이 입증됐습니다.
미국 행정명령 EO 14028
연방정부 납품 SW에 SBOM 제공을 요구하는 방향을 제시. 같은 해 7월 NTIA가 SBOM '최소 요소(Minimum Elements)'를 발표하며 데이터 필드·자동화·프로세스의 3축 기준이 확립됩니다.
Log4Shell(Log4j) 사태
전 세계에서 가장 널리 쓰이던 로깅 라이브러리의 치명적 취약점. 대다수 기업이 "우리 시스템 어디에 Log4j가 있는지"조차 즉답하지 못하면서 SBOM의 필요성이 실전으로 증명됐습니다.
표준의 국제 공인
SPDX가 ISO/IEC 5962 국제표준으로, CycloneDX가 Ecma International의 ECMA-424 표준으로 공인. 두 형식이 사실상의 양대 표준으로 정착했습니다.
산업별 의무화 확산
미국 FDA는 의료기기 인허가에 SBOM 제출을 요구(연방식품의약품화장품법 524B). EU 사이버복원력법(CRA)은 2024년 12월 발효되어 디지털 요소를 포함한 제품에 SBOM 작성 등 보안 의무를 부과하며, 본 의무는 2027년 12월부터 적용됩니다. 미국은 EO 14144(2025.1)로 공급망 보안 요구를 재정비했습니다.
한국 공공부문 SBOM 의무화
국내에서도 2027년 공공부문 SBOM 의무화가 예고되어, 공공 납품 SW 기업에게 SBOM 생성·관리 역량이 필수 조건이 됩니다. EU CRA 본 의무 적용 시점과 겹치는 해로, 2027년은 국내외 규제가 동시에 조여오는 변곡점입니다.
BOM은 실제로 어떻게 생겼나 — 구성형태 표시 사례
SBOM은 사람이 읽는 문서가 아니라 기계가 읽는 데이터입니다. 같은 컴포넌트(예: Log4Shell의 주인공이었던 log4j-core)를 양대 표준이 어떻게 표기하는지 나란히 보면 구조가 한눈에 들어옵니다. 두 형식 모두 「누가 만든, 무슨 이름의, 몇 버전 컴포넌트인가」 + 「고유 식별자」 + 「의존 관계」라는 동일한 뼈대를 갖습니다.
{
"bomFormat": "CycloneDX",
"specVersion": "1.6",
"metadata": {
"timestamp": "2026-07-11T09:00:00Z",
"authors": [{ "name": "Labrador SCA" }]
},
"components": [{
"type": "library",
"supplier": { "name": "Apache" },
"name": "log4j-core",
"version": "2.17.1",
"purl": "pkg:maven/org.apache.logging
.log4j/log4j-core@2.17.1",
"licenses": [{ "license":
{ "id": "Apache-2.0" } }]
}],
"dependencies": [{
"ref": "my-app",
"dependsOn": ["log4j-core@2.17.1"]
}]
}
# 문서 정보 (SBOM 자체의 메타데이터) SPDXVersion: SPDX-2.3 Creator: Tool: Labrador-SCA Created: 2026-07-11T09:00:00Z # 컴포넌트(패키지) 정보 PackageName: log4j-core SPDXID: SPDXRef-log4j-core PackageVersion: 2.17.1 PackageSupplier: Organization: Apache ExternalRef: PACKAGE-MANAGER purl pkg:maven/org.apache.logging .log4j/log4j-core@2.17.1 PackageLicenseDeclared: Apache-2.0 # 의존 관계 Relationship: SPDXRef-my-app DEPENDS_ON SPDXRef-log4j-core
※ 학습용으로 단순화한 예시입니다. 실무 SBOM은 수백~수천 개 컴포넌트와 해시(무결성 검증값), 계층적 의존 트리를 포함합니다. 두 형식의 공통 열쇠는 PURL(Package URL) 같은 고유 식별자 — 이 식별자가 있어야 새 CVE가 공개됐을 때 "우리 제품에 해당 컴포넌트가 있는가"를 기계적으로 대조할 수 있습니다.
식품 성분표 vs SBOM — 한 장 비교
| 비교 구분 | 🍅 식품 성분 명세서 | 💻 SBOM / X-BOM |
|---|---|---|
| 최초 배경 | 1852 골드너 스캔들군납 통조림 대량 부패, 병력 생명 위협 | 2020~21 SolarWinds·Log4j오픈소스 공급망 취약점으로 전 세계 디지털 시스템 보안 마비 위기 |
| 규제 입법 | 1860 영국 불량식품 방지법1906 미국 순수식품의약품법 | 2021 미국 EO 14028EU CRA, 한국 2027 공공 SBOM 의무화 |
| 표준 형식 | Nutrition Facts 패널1990 NLEA로 표준화 | SPDX(ISO/IEC 5962) · CycloneDX(ECMA-424)NTIA 최소 요소가 공통 기준 |
| 확장 방향 | 알레르기 유발물질, 원산지, 탄소발자국 표시로 확대 | HBOM·AI-BOM·CBOM 등 X-BOM 패밀리로 확대 |
SBOM은 "생성해서 제출하면 끝"인 문서가 아닙니다. 새 취약점이 공개될 때마다 보유 컴포넌트와 대조하고, 실제 영향 여부를 VEX로 판정·전달하는 운영 사이클이 본질입니다. SBOM이 '성분표'라면 VEX는 '이 성분이 당신에게 해로운지에 대한 소견서'입니다. (VEX 상세는 포털의 VEX 가이드 참조)
X-BOM으로의 확장 — 소프트웨어를 넘어 전체 디지털 공급망으로
투명성 요구는 소프트웨어 코드에서 멈추지 않습니다. 하드웨어, AI 모델, 암호 자산, 클라우드 서비스까지 — 시스템을 구성하는 모든 층위에 성분표를 요구하는 흐름이 X-BOM(eXtended BOM)입니다. CycloneDX는 하나의 표준 생태계 안에서 여러 BOM 유형을 정의하고 상호 참조할 수 있게 설계되어 있습니다.
Software BOM
소프트웨어 컴포넌트·의존성·라이선스 목록. 모든 X-BOM의 출발점이자 기준 모델.
Hardware BOM
하드웨어 부품·펌웨어 목록. IoT·의료기기·핵심 인프라에서 위변조 부품 탐지, 부품 원산지 추적(지정학 리스크 관리)에 활용.
AI Bill of Materials
모델, 학습 데이터 계보, 라이선스, 성능 지표를 문서화. EU AI Act와 각국 AI 거버넌스 요구에 대응하는 가장 빠르게 성장 중인 영역. 2026년 5월 G7 공동으로 최소 요소 가이드가 발간되며 표준화가 본격화. → 아래 심화 학습
Cryptography BOM
알고리즘·키·인증서 등 암호 자산 목록. 양자내성암호(PQC) 전환의 첫 단계 — 취약한 RSA/ECC가 어디에 있는지부터 파악해야 교체가 가능. 금융권 중심으로 규제 요구가 시작됨.
SaaS BOM
클라우드 서비스·API·데이터 흐름 목록. 서드파티 서비스 종속성과 미설정 API 리스크 관리.
운영·제조 BOM과 부속 문서
운영 환경 구성(OBOM), 제조·조립 이력(MBOM)에 더해 VDR·VEX·CDXA(빌드 무결성 증명) 같은 부속 문서가 BOM 생태계를 완성. → OBOM은 아래 심화 학습
규제도 X-BOM으로 이동 중
인도 CERT-In은 2025년 7월 SBOM뿐 아니라 QBOM·CBOM·AIBOM·HBOM까지 아우르는 기술 가이드라인 v2.0을 발표했습니다. 아직 권고 수준이지만, "SBOM 단일 문서"에서 "계층별 BOM 체계"로 규제의 프레임 자체가 이동하고 있음을 보여주는 신호입니다. 식품 표시가 영양성분 → 알레르기 → 원산지로 확대된 것과 동일한 경로입니다.
AI-BOM 심화 — AI 시스템의 성분표는 무엇을 담아야 하는가
AI 시스템도 소프트웨어입니다. 따라서 기존 SBOM이 그대로 필요하지만, 그것만으로는 부족합니다. AI 특유의 리스크는 코드 의존성 밖에서 옵니다 — 사전학습 모델의 출처, 학습 데이터의 계보와 라이선스, 파인튜닝 이력, 모델이 처리하는 데이터의 민감도. 예컨대 Hugging Face에서 내려받은 모델 가중치는 오픈소스 라이브러리와 똑같은 '외부 공급 컴포넌트'이지만, 전통적 SBOM에는 잡히지 않습니다. AI-BOM은 이 사각지대를 성분표의 영역으로 끌어들입니다.
기준 문서: G7 「SBOM for AI — 최소 요소」 (2026.5)
2026년 5월, 독일 BSI·미국 CISA·프랑스 ANSSI·영국 NCSC·일본·캐나다·이탈리아의 사이버보안 당국이 EU 집행위와 함께 AI용 SBOM 최소 요소 가이드를 공동 발간했습니다. 아직 자발적 권고이지만 G7 전문가 합의 문서로서, 일반 SBOM의 EO 14028/NTIA 최소 요소에 해당하는 AI 분야의 공통 기준점이 될 문서입니다. 핵심 구조는 아래 7개 클러스터입니다. 메타데이터를 제외한 나머지 여섯은 우열 없이 동등하게 중요합니다.
AI 시스템 전체 — 구성요소, 제공자, 버전, 데이터 흐름, 입출력 특성, 의도된 용도, SW 의존성·프레임워크
사용 모델의 식별 정보, 가중치 산출 과정(학습·파인튜닝 이력), 해시, 라이선스, 속성과 한계
모델 전 생애주기의 데이터셋 — 식별자, 해시, 출처(provenance), 민감도, 라이선스
운영에 필수적인 물리·가상 인프라. 전용 AI 하드웨어는 HBOM 링크로 연결 — X-BOM 상호참조의 실례
AI 모델·시스템에 적용된 사이버보안 조치
AI 시스템과 구성요소의 성능 지표 정보
AI 요소는 일반 SBOM 최소 요소를 대체하는 것이 아니라 보충하는 관계
표준 형식에서는 어떻게 표기하나
CycloneDX는 컴포넌트 타입 machine-learning-model과 modelCard 구조로 ML-BOM을 지원하고, SPDX는 3.0부터 AI·Dataset 프로파일을 제공합니다. 아래는 CycloneDX ML-BOM의 축약 예시입니다.
{
"components": [{
"type": "machine-learning-model", // 라이브러리가 아닌 '모델' 타입
"name": "support-intent-classifier",
"version": "3.2.0",
"licenses": [{ "license": { "id": "Apache-2.0" } }],
"modelCard": {
"modelParameters": {
"task": "text-classification",
"architectureFamily": "transformer",
"datasets": [{ "ref": "dataset-cs-tickets-2025" }] // 학습 데이터 계보
},
"quantitativeAnalysis": {
"performanceMetrics": [{ "type": "F1", "value": "0.94" }] // KPI
},
"considerations": {
"ethicalConsiderations": [{ "name": "고객 대화 데이터 포함 — 민감도 관리 필요" }]
}
}
}]
}
※ 모델을 여느 컴포넌트처럼 name·version·license로 식별하되, modelCard로 학습 데이터 참조·성능 지표·고려사항까지 확장하는 구조입니다. "데이터셋도 참조 가능한 자산"이라는 점이 일반 SBOM과의 결정적 차이입니다.
규제와의 연결 — 왜 지금 준비해야 하나
G7 가이드의 요구 정보는 EU AI Act가 고위험 AI 시스템 제공자에게 요구하는 기술문서(11·13조, 부속서 IV)와 상당 부분 겹칩니다. 즉 AI-BOM을 갖추는 것이 곧 AI Act 문서화 의무 대응의 상당 부분을 커버합니다. 인도 CERT-In 가이드라인 v2.0에도 AIBOM이 포함되어 있고, 기업 고객의 벤더 실사에서도 "모델 계보와 데이터 출처를 문서로 제시할 수 있는가"가 AI 공급사의 성숙도를 가르는 필터로 쓰이기 시작했습니다. SBOM이 걸어온 「사고 → 규제 → 표준 → 기본값」의 경로를, AI-BOM은 사고를 기다리지 않고 선제적으로 걷고 있는 셈입니다.
AI-BOM에서도 난제는 결국 식별입니다 — "이 시스템에 어떤 모델·데이터셋이 실제로 들어있는가"를 신고에 의존하지 않고 검증하는 문제. 이는 SCA가 소스·바이너리에서 오픈소스 컴포넌트를 식별해온 문제와 구조적으로 동일하며, AI 프레임워크·추론 라이브러리 등 AI 시스템의 SW 의존성(SLP 클러스터)은 지금의 SCA가 이미 커버하는 영역입니다. AI-BOM 논의는 SCA의 대체재가 아니라 SCA 위에 쌓이는 층입니다.
OBOM 심화 — 배포된 제품이 아니라, 지금 돌아가는 환경의 성분표
SBOM이 "이 제품은 무엇으로 만들어졌는가"(빌드 시점)에 답한다면, OBOM(Operations Bill of Materials)은 "이 운영 환경에서 지금 실제로 무엇이 돌아가고 있는가"(운영 시점)에 답합니다. 비유하자면 SBOM이 제품의 설계도·성분표라면, OBOM은 현장의 재고 실사 대장입니다.
OBOM은 운영 시점의 두 인벤토리를 합친 개념으로 이해하면 정확합니다. ① Deployed BOM — "이 시스템에 무엇이 설치되어 있는가": 설치·구성 데이터 기반의 정적 인벤토리(OS 패키지, 설치 앱, 컨테이너 이미지). ② Runtime BOM — "그중 무엇이 지금 실제로 실행·로드되고 있는가": 실행 중 시스템 계측(instrumentation) 기반의 동적 인벤토리로, 동적 로드 컴포넌트와 외부 서비스 호출까지 포착합니다. 설치됐지만 돌지 않는 것(잠재 노출면)과 설치 목록엔 없지만 돌고 있는 것(동적 로드) — 양쪽을 다 잡아야 완전한 운영 성분표가 됩니다. Runtime 축은 "실제 로드된 컴포넌트만 본다"는 점에서 도달성(Reachability) 기반 FP 감소와 직결되는, 차세대 SCA의 방향이기도 합니다.
둘의 간극이 실제 사고에서 문제가 됩니다. Log4Shell 당시 진짜 질문은 "우리가 만든 제품에 Log4j가 들어있는가"만이 아니라 "지금 운영 중인 수백 대 서버 중 어디에서 취약한 버전이 돌고 있는가"였습니다. 애플리케이션 SBOM에는 잡히지 않는 OS 패키지, 미들웨어(WAS·DB), 컨테이너 베이스 이미지, 에이전트류가 실제 공격면의 큰 부분을 차지하고, 운영 중 패치·수동 설치로 빌드 시점 구성과 달라지는 형상 드리프트도 누적됩니다. OBOM은 이 운영 계층 전체를 기계가 읽을 수 있는 인벤토리로 만듭니다.
SBOM vs OBOM — 무엇이 다른가
| 구분 | SBOM | OBOM |
|---|---|---|
| 시점 | 빌드·배포 시점제품 1개 단위, 릴리스마다 생성 | 운영 시점환경(서버·클러스터) 단위, 변경 시마다 갱신 |
| 주어 | 소프트웨어 제품"이 제품의 성분" | 운영 환경"이 서버/환경에서 돌아가는 전체 스택" |
| 담는 것 | 컴포넌트·의존성·라이선스 | OS·펌웨어·컨테이너·미들웨어·설치 애플리케이션·라이브러리·연결 서비스·환경 구성 |
| 핵심 질문 | "새 CVE가 우리 제품에 해당되는가?" | "새 CVE가 지금 운영 중인 어느 시스템에 노출되어 있는가?" |
| 주 활용 | 조달 심사, 고객 제출, 라이선스 컴플라이언스 | 취약점 노출 확인, 사고 대응, 자산·EOL 관리, 형상 드리프트 감시 |
※ 대체 관계가 아니라 상호 참조 관계입니다. 운영 환경(OBOM)에 배포된 각 애플리케이션이 자신의 SBOM을 갖고, OBOM이 이를 링크하는 구조가 이상적입니다 — AI-BOM의 인프라 클러스터가 HBOM을 링크하는 것과 같은 X-BOM 상호참조 패턴입니다.
CISA vs OWASP — 같은 문제, 다른 분류 축
OBOM을 정확히 이해하려면 두 진영이 이 개념을 다른 축으로 자르고 있다는 점을 알아야 합니다. 미국 CISA는 「SBOM 문서 유형(Types of SBOM Documents)」에서 SBOM을 생명주기 단계로 6분류하고, OWASP CycloneDX는 기술 대상(무엇의 성분표인가)으로 BOM 문서 유형을 나눕니다.
| 구분 | CISA (미 정부) | OWASP CycloneDX |
|---|---|---|
| 분류 축 | 생명주기 — SBOM 데이터를 언제·어떻게 수집했나 | 기술 대상 — 이 문서는 무엇의 성분표인가 |
| 유형 구성 | Design → Source → Build → Analyzed → Deployed → Runtime (6유형)Deployed: 시스템에 설치된 SW 인벤토리(설치·구성 데이터 기반) / Runtime: 실행 중 시스템을 계측해 실제 로드·실행되는 컴포넌트만 기록 — 'Instrumented/Dynamic SBOM'으로도 불림 | SBOM · OBOM · HBOM · ML-BOM · CBOM · SaaSBOM 등OBOM: 운영 환경 전체 스택(HW·펌웨어·OS·앱·구성)의 풀스택 인벤토리 |
| OBOM과의 관계 | CISA의 Deployed + Runtime 두 유형이 담는 정보를, 운영 환경 관점의 문서 하나로 묶어낸 것이 OWASP의 OBOM입니다. 즉 CISA는 "수집 시점" 언어로, OWASP는 "문서 유형" 언어로 같은 실체를 가리킵니다. 고객이 어느 쪽 용어를 쓰든 "설치 인벤토리(Deployed)와 실행 인벤토리(Runtime)를 합친 운영 성분표"로 번역하면 대화가 통합니다. | |
표시 사례 — CycloneDX OBOM
CycloneDX는 별도 형식을 만들지 않고, 동일한 표준 안에서 운영 환경을 주어로 삼는 방식으로 OBOM을 표현합니다. 문서의 주체(metadata.component)를 제품이 아닌 운영 플랫폼으로 두고, 그 아래에 OS·컨테이너·애플리케이션·라이브러리를 컴포넌트 타입으로 계층화합니다.
{
"bomFormat": "CycloneDX",
"specVersion": "1.6",
"metadata": {
"timestamp": "2026-07-11T09:00:00Z",
"component": { // 이 문서의 주어 = 운영 환경
"type": "platform",
"name": "prod-web-01", // 운영 서버(호스트) 식별
"version": "2026.07-baseline"
}
},
"components": [
{ "type": "operating-system", // ① OS 계층
"name": "ubuntu", "version": "22.04.4" },
{ "type": "library", // ② OS 패키지 — 앱 SBOM엔 없는 계층
"name": "openssl", "version": "3.0.13",
"purl": "pkg:deb/ubuntu/openssl@3.0.13" },
{ "type": "container", // ③ 컨테이너 베이스 이미지
"name": "nginx", "version": "1.25-alpine" },
{ "type": "application", // ④ 배포된 자사/타사 앱
"name": "order-api", "version": "4.1.2",
"externalReferences": [{
"type": "bom", // ⑤ 이 앱의 SBOM을 링크 (상호참조)
"url": "https://boms.example/order-api-4.1.2.cdx.json"
}] }
],
"services": [
{ "name": "payment-gateway", // ⑥ 연결된 외부 서비스
"endpoints": ["https://pay.example.com"] }
]
}
※ 학습용 축약 예시. 실무에서는 서버당 수백~수천 개의 OS 패키지가 나열되며, 해시·설치 경로·구성값이 함께 기록됩니다. OpenSSL에 새 CVE가 공개되면 이 인벤토리를 대조해 "prod-web-01이 노출됨"을 즉시 판정할 수 있습니다 — 이것이 OBOM의 존재 이유입니다.
활용 시나리오 4가지
① 신규 CVE 노출 판정 — 취약점 공개 시 "어느 운영 시스템이 영향권인가"를 인벤토리 대조로 즉답. ② 사고 대응 — 침해 조사 시 해당 시점 환경 구성을 근거 자료로 제시. ③ 자산·EOL 관리 — 지원 종료된 OS·미들웨어가 어디에 남아있는지 추적. ④ 형상 드리프트 감시 — 승인된 기준선(baseline)과 현재 상태의 차이를 지속 비교. 넷 모두 공통 전제는 운영 환경 인벤토리의 지속적 수집입니다 — 한 번 만들고 끝나는 문서가 아니라 살아있는 데이터여야 합니다.
OBOM 사상을 제품으로 구현한 것이 ServerCare(IVAS 운영관리)입니다. 운영 서버의 OS·패키지 인벤토리를 지속 수집하는 것은 Deployed BOM 축의 실체이고, 신규 취약점과의 상시 대조가 이 인벤토리를 살아있는 데이터로 만듭니다. "운영 환경의 살아있는 성분표"라는 OBOM의 정의 그 자체입니다. 고객 대화 포인트: "SBOM(SCA)으로 만드는 단계의 성분을, OBOM(ServerCare)으로 돌아가는 단계의 성분을 관리한다 — 래브라도랩스는 빌드에서 운영까지 성분표의 전 구간을 커버합니다."
전략적 시사점 — 성분표는 비용이 아니라 차별화 장벽
식품 산업의 역사가 주는 교훈은 명확합니다. 성분 공개를 '규제 대응 비용'으로만 취급한 기업은 뒤처졌고, 투명성을 신뢰의 증거로 전환한 기업이 시장을 얻었습니다. SBOM도 같습니다. 조달 심사·고객 실사에서 "정확한 SBOM을 즉시 제출할 수 있는가"는 이미 공급사 선별 기준이 되고 있습니다.
래브라도랩스 관점: 왜 SCA가 X-BOM 시대의 기반 기술인가
모든 BOM의 품질은 결국 "성분을 얼마나 정확히 식별했는가"에서 결정됩니다. 부정확한 성분표는 없는 것보다 위험합니다. 래브라도랩스의 SCA는 이 식별 단계를 특허 기술로 뒷받침합니다.
CENTRIS가 오픈소스 컴포넌트를 정확히 식별해 신뢰할 수 있는 SBOM의 토대를 만들고, VUDDY가 변형·복제된 취약 코드까지 탐지하며, xVDB가 알려진 CVE의 실제 패치 정보를 확보해 "식별 → 취약점 → 조치"를 연결합니다. 소스가 없는 바이너리 납품물에는 SCA 제품 내 BinaryAI 분석이 대응합니다. X-BOM이 어디까지 확장되든, 정확한 컴포넌트 식별이라는 기반은 변하지 않습니다.
고객 대화에서 쓸 수 있는 3문장 요약
① "식품에 영양성분표가 있듯, 소프트웨어에도 성분표(SBOM)를 요구하는 시대입니다 — 2027년이면 국내 공공부문도 의무화됩니다." ② "SBOM의 가치는 문서가 아니라 정확도에서 나옵니다 — 성분을 잘못 적은 성분표는 오히려 리스크입니다." ③ "지금 SBOM을 갖추는 것은 규제 대응을 넘어, AI-BOM·CBOM으로 확장될 X-BOM 시대의 선행 투자입니다."
학습 점검
아래 질문에 스스로 답해보세요.
- 식품 성분표의 역사와 SBOM의 전개에서 공통적으로 나타나는 4단계 패턴은 무엇인가?
답 확인
대형 사고 → 규제 입법 → 표준 형식 → 산업 기본값. (골드너 스캔들→1906법→Nutrition Facts / SolarWinds·Log4j→EO 14028·CRA→SPDX·CycloneDX) - SBOM 최소 요소(NTIA 2021)의 세 축은? 데이터 필드 7가지 중 3가지 이상을 말해보라.
답 확인
세 축: 데이터 필드·자동화 지원·프로세스와 관행. 데이터 필드: 공급자명, 컴포넌트명, 버전, 고유 식별자, 의존 관계, SBOM 작성자, 타임스탬프. - CBOM이 최근 주목받는 가장 큰 기술적 배경은?
답 확인
양자컴퓨팅 위협에 대비한 양자내성암호(PQC) 전환. 취약한 RSA/ECC 암호 자산이 어디에 쓰이는지 인벤토리를 먼저 확보해야 교체(crypto-agility)가 가능하기 때문. - SPDX와 CycloneDX 두 형식에 공통으로 존재하는 핵심 뼈대 3요소와, 새 CVE 대조를 가능하게 하는 열쇠는?
답 확인
뼈대: ①컴포넌트 식별 정보(공급자·이름·버전) ②고유 식별자 ③의존 관계. 열쇠는 PURL 같은 고유 식별자 — 이것이 있어야 신규 CVE와 보유 컴포넌트를 기계적으로 대조할 수 있다. - G7 「SBOM for AI 최소 요소」(2026.5)의 7개 클러스터를 4개 이상 말해보라. 일반 SBOM과의 관계는?
답 확인
메타데이터, 시스템 수준 속성(SLP), 모델, 데이터셋 속성(DP), 인프라, 보안 속성(SP), KPI. AI 요소는 일반 SBOM 최소 요소를 대체가 아니라 보충하는 관계다(AI 시스템도 소프트웨어이므로). - OBOM을 구성하는 두 인벤토리는 무엇이며, CISA와 OWASP는 이 개념을 각각 어떤 축으로 분류하는가?
답 확인
OBOM = Deployed BOM(설치 인벤토리: 무엇이 설치되어 있나) + Runtime BOM(실행 인벤토리: 무엇이 실제로 로드·실행되나). CISA는 생명주기 축의 6유형(Design·Source·Build·Analyzed·Deployed·Runtime) 중 Deployed와 Runtime으로, OWASP CycloneDX는 기술 대상 축의 문서 유형인 OBOM으로 같은 실체를 가리킨다. 래브라도랩스에서는 SCA(SBOM)와 ServerCare(OBOM)가 각각 대응한다. - "X-BOM 시대에도 SCA가 기반 기술"이라고 말할 수 있는 논리는?
답 확인
모든 BOM의 품질은 컴포넌트 식별 정확도에서 결정되며, 래브라도랩스는 CENTRIS(식별)·VUDDY(취약 클론 탐지)·xVDB(실제 패치 확보)로 이 식별-대응 체인을 특허 기술로 뒷받침하기 때문.
학습 확인
점검을 마치셨다면 이름을 입력하고 확인 결과를 보내주세요.
※ 버튼을 누르면 구글폼이 새 창으로 열립니다. 폼에서 제출 버튼까지 눌러야 완료됩니다.