SBOM부터 AI BOM까지: 소프트웨어 공급망 보안 뉴웨이브 SPDX 3.0

SBOM부터 AI BOM까지: 소프트웨어 공급망 보안 뉴웨이브 SPDX 3.0

 

안녕하세요,

그로메트릭 입니다. 🐸

 

소프트웨어 공급망 보안과 컴플라이언스 전략이 빠르게 진화하고 있습니다. 

SBOM(소프트웨어 명세서)이 처음 주목받기 시작했을 때, 그 목적은 비교적 단순했습니다. "이 애플리케이션에 어떤 오픈소스 컴포넌트가 포함되어 있는가?"라는 질문에 답하는 것이었죠.

 

그러나 오늘날의 소프트웨어 생태계는 클라우드 서비스, API, 컨테이너, CI/CD 파이프라인, 그리고 AI/ML 모델까지 훨씬 복잡해졌습니다. 
SBOM은 이제 단순한 컴플라이언스 체크리스트를 넘어, 공급망 공격 대응, 규제 준수, 벤더 리스크 관리, 그리고 AI 거버넌스의 핵심 도구로 빠르게 자리를 잡아가고 있습니다. 특히 AI 기반 애플리케이션이 확산되면서, AI 모델과 데이터셋의 출처를 추적하는 AI BOM(인공지능 명세서)에 대한 수요도 함께 커지고 있습니다.

바로 이 변화를 선도하기 위해 등장한 것이 SPDX 3.0입니다. 소나타입(Sonatype)은 Sonatype SBOM Manager에 SPDX 3.0 지원을 추가했습니다. SPDX 3.0은 단순한 패키지 목록을 넘어, AI BOM, 출처(provenance) 검증, 보안 메타데이터까지 아우르는 차세대 소프트웨어 공급망 투명성 프레임워크입니다. SBOM 전략과 AI 거버넌스를 함께 고민하는 보안 담당자와 DevSecOps 팀이라면 반드시 주목해야 할 변화일 것입니다.

 

*아래 글은 소나타입(Sonatype)의 공식 블로그 글을 번역하여 작성되었습니다.

---

SBOM, 패키지 목록을 넘어 진화하다

역사적으로 대부분의 SBOM은 "이 애플리케이션에 어떤 컴포넌트가 포함되어 있는가?" 하나의 질문에 집중했습니다.
이것은 소프트웨어 투명성을 향한 중요한 첫걸음이었습니다.
하지만 오늘날 조직들이 실제로 필요로 하는 답변은 훨씬 더 다양합니다.

- 이 소프트웨어는 어떻게 빌드되었는가?
- 어떤 외부 서비스에 의존하고 있는가?
- 아티팩트 간 관계는 어떻게 정의되는가?
- 어떤 AI 모델이 내장되어 있는가?
- 무결성과 출처를 증명하는 근거 자료는 무엇인가?
- 소프트웨어는 개발 라이프사이클 전반에 걸쳐 어떻게 이동하는가?

기존 SBOM 포맷은 이 수준의 복잡성을 표현하도록 설계되지 않았습니다. SPDX 3.0은 바로 이 문제를 해결합니다. 

패키지 목록이라는 좁은 범위를 벗어나, SBOM과 AI BOM 모두를 위한 확장 가능한 소프트웨어 투명성 프레임워크의 토대를 마련합니다.

 

SPDX 3.0: 운영 복잡성을 낮추다

SPDX 3.0의 가장 실질적인 장점 중 하나는 소프트웨어 투명성 데이터 관리 방식을 단순화한다는 점입니다.
이전 SPDX 버전에서는 VEX(Vulnerability Exploitability eXchange, 취약점 악용 가능성 교환) 정보가 SBOM 본문 외부에 별도 문서로 존재해야 했습니다. 이는 추가적인 운영 부담을 야기했습니다.  관리해야 할 파일 수 증가, 추적해야 할 아티팩트 증가, 버전 불일치 가능성 증가, 감사 또는 조사 과정의 복잡성 증가와 같은 추가적인 운영 부담이 발생했습니다.

SPDX 3.0은 이 구조를 바꿉니다. VEX 정보를 SBOM 본문 안에 직접 내장할 수 있어, 분산된 아티팩트 대신 하나의 통합된 소프트웨어 투명성 기록을 유지할 수 있습니다.
이를 통해 조직은 다음과 같은 이점을 얻습니다.

- 추적·관리해야 할 문서 수 감소
- 관리 오버헤드 절감
- SBOM과 취약점 컨텍스트 간 일관성 향상
- 운영 오류 위험 감소
- 다운스트림 자동화 및 거버넌스 워크플로우 간소화

수천 개의 애플리케이션과 소프트웨어 아티팩트를 관리하는 대기업 입장에서, 이러한 통합은 SBOM 운영을 상당히 효율화할 수 있습니다.

 

기업이 SPDX 3.0에 주목해야 하는 이유

많은 조직에서 소프트웨어 투명성 요구사항은 기존 툴링 전략보다 빠르게 가속화되고 있습니다.
보안 팀은 다음 분야에서 점점 더 강한 압박을 받고 있습니다.

- 공급망 공격 대응
- 출처(provenance) 검증
- 규제 컴플라이언스
- 벤더 리스크 관리
- 오픈소스 거버넌스
- 소프트웨어 무결성 검증
- AI 리스크 관리 및 감사 가능성

동시에 현대 개발 환경은 점점 더 분산·동적으로 변화하고 있습니다.
조직은 이제 컴포넌트에 대한 단순한 가시성을 넘어, 맥락(context)이 필요합니다. SPDX 3.0은 통합 프레임워크 안에서 소프트웨어 관계, 출처, 보안 데이터, 그리고 AI BOM 메타데이터까지 풍부하게 표현할 수 있도록 지원합니다.

 

SPDX 3.0: AI BOM 투명성으로 확장되다

SPDX 3.0의 또 다른 핵심 변화는 AI 및 머신러닝 시스템에 대한 지원입니다.
기존 SBOM 표준은 AI 특화 메타데이터를 의미 있게 표현하도록 설계되지 않았습니다. AI 기반 애플리케이션과 내장 AI 모델 채택이 늘어날수록, 이 한계는 점점 더 뚜렷해집니다.

SPDX 3.0은 다음과 같은 AI 관련 메타데이터를 지원합니다.

- 하이퍼파라미터
- 파인튜닝 정보
- 데이터셋 참조
- 설명 가능성(Explainability) 메타데이터
- 의사결정 임계값
- 에너지 소비 지표

이는 중요한 패러다임 전환입니다.
이제 조직은 어떤 AI 컴포넌트가 사용되는지뿐만 아니라, 그것이 어떻게 사용되고, 학습되고, 파인튜닝되며, 운영에 적용되는지까지 파악해야 합니다.

AI BOM의 투명성 수준은 AI 거버넌스, 규제 대응 준비, 모델 리스크 관리, 책임 있는 AI(Responsible AI) 이니셔티브, 그리고 기업 감사 가능성 측면에서 갈수록 중요해지고 있습니다. SPDX 3.0은 AI 시스템을 이미 진행 중인 소프트웨어 공급망 보안 거버넌스 논의 안으로 통합할 수 있는 경로를 제공합니다.

 

"무엇이 들어 있는가?"에서 "모든 것이 어떻게 연결되는가?"로

이것이 SPDX 3.0이 가능하게 하는 본질적인 전환입니다.
- 이전: SBOM은 "어떤 패키지가 존재하는가?"에 답했습니다.
- 현재: 조직은 소프트웨어 시스템이 어떻게 연결되는지 파악할 수 있습니다. 이 풍부한 컨텍스트는 인시던트 대응, 출처 검증, 감사 준비, 거버넌스, 제로 트러스트(Zero-Trust) 이니셔티브, 그리고 AI 투명성을 강화합니다.

 

SPDX 3.0이 Sonatype SBOM Manager에 미치는 영향

SPDX 3.0 지원을 통해 Sonatype SBOM Manager는 단순한 SBOM 수집·거버넌스 플랫폼을 넘어, 소프트웨어 공급망 인텔리전스를 실제 운영에 적용하는 플랫폼으로 발전합니다.

이제 조직은 다음 영역에 걸쳐 더욱 풍부한 소프트웨어 메타데이터를 관리할 수 있습니다.

- 개발 파이프라인
- 보안 워크플로우
- 컴플라이언스 프로세스
- 벤더 생태계
- 소프트웨어 라이프사이클 거버넌스

중요한 것은, 기존 SBOM 투자를 포기할 필요가 없다는 점입니다.
대부분의 기업은 여러 표준과 포맷이 혼재하는 이기종 환경에서 계속 운영해 나갑니다. Sonatype SBOM Manager는 이러한 워크플로우를 정규화·운영화하면서, 동시에 조직이 소프트웨어 투명성의 미래를 준비할 수 있도록 지원합니다.

 

지금 바로 준비를 시작해야 하는 이유

SPDX 3.0의 업계 전반 도입이 하루아침에 이루어지지는 않을 것입니다. 그러나 업계가 나아가는 방향은 점점 더 분명해지고 있습니다.
소프트웨어 공급망 보안은 다음 방향으로 진화하고 있습니다.

- 더 풍부한 출처(provenance) 데이터
- 더 강력한 검증(attestations)
- 라이프사이클 전반의 추적 가능성
- 상호 운용 가능한 메타데이터 생태계
- 더 광범위한 아티팩트 표현
- 진화하는 컴플라이언스 요구사항

 

SBOM 및 AI BOM 준비를 위한 다음 단계

SPDX 3.0을 지원함으로써 Sonatype SBOM Manager는 조직이 이 다음 단계를 준비할 수 있도록 돕습니다. 더 풍부한 상호 운용성, 더 깊은 라이프사이클 가시성, 그리고 미래 지향적인 소프트웨어 공급망 인텔리전스를 가능하게 합니다.

SBOM이 AI 시스템, 데이터셋, 출처, 보안 증거, 그리고 더 복잡한 관계를 포함하도록 확장될수록, 조직은 개발 속도를 늦추지 않고 그 복잡성을 관리할 수 있는 도구가 필요합니다. Sonatype SBOM Manager는 팀이 바로 그것을 실현할 수 있는 실용적인 토대를 제공합니다.

 

---

출처

소나타입 블로그 : From SBOMs to AI BOMs: Why SPDX 3.0 Matters