래브라도랩스, 2026 공급망보안 워크숍에서 실질적 대응 방안 제시
소프트웨어(SW)는 하나의 완성품처럼 보이지만, 실제로는 수많은 부품으로 구성되어 있습니다.
오픈소스, 외부 라이브러리, 프레임워크, 컨테이너 이미지, 운영 서버에 설치된 패키지까지 다양한 구성요소가 모여 하나의 SW를 만듭니다.
자동차를 만들 때 엔진, 타이어, 배터리, 반도체가 필요한 것처럼, SW도 여러 디지털 부품이 결합되어 작동합니다.문제는 이 부품 중 하나에 보안 취약점이 생기면 전체 시스템이 위험해질 수 있다는 점입니다.
이 때문에 전 세계적으로 SBOM(Software Bill of Materials, 소프트웨어 자재 명세서)의 중요성이 빠르게 커지고 있습니다.
이에, 조학수 래브라도랩스 CTO는 최근 열린 ‘2026 공급망보안 워크숍’에 참여 ‘SBOM 의무화 시대의 SW 공급망 보안 대응’을 발표했습니다.

“SBOM은 이제 선택이 아니라 필수“
과거에는 SW를 잘 개발하고 안정적으로 운영하는 것이 중요했습니다. 하지만 지금은 질문이 달라졌습니다.
우리가 사용하는 소프트웨어 안에 어떤 오픈소스가 들어 있을까? 오픈소스에 취약점이 발견되면 우리 시스템도 영향을 받는가?
수많은 취약점 중 무엇부터 패치해야 하나? 납품받은 SW가 안전하다는 것을 어떻게 확인할 수 있을까?
이 질문에 답하기 위해 필요한 것이 SBOM입니다.
미국은 행정명령 EO 14028을 통해 소프트웨어 공급망 보안을 강화하고 있습니다.
유럽연합 역시 CRA(Cyber Resilience Act)를 중심으로 디지털 제품의 보안 책임을 강화하고 있습니다.
글로벌 시장은 SW를 납품하거나 수출할 때 SBOM 제출을 요구합니다.
국내에서도 변화가 시작되고 있습니다.
과학기술정보통신부와 국가정보원은 2027년 공공 납품 IT 제품을 대상으로 SBOM 제출 제도를 도입하고,
2028년부터 본격 운영하는 방향으로 준비하고 있습니다. 이제 SBOM은 일부 보안 전문가만의 관심사가 아닙니다.
공공, 금융, 제조, 국방, 클라우드 등 주요 산업에서 반드시 갖춰야 할 기본 보안 체계가 되고 있습니다.
“AI 시대, 취약점 폭발“
최근 소프트웨어 공급망 보안이 더 중요해진 이유 중 하나는 AI 때문입니다.
AI 기술이 발전하면서 오픈소스와 소프트웨어 취약점을 발견하는 속도는 점점 빨라지고 있습니다.
예전에는 보안 전문가가 오랜 시간 분석해야 찾을 수 있었던 취약점도, 이제는 AI가 빠르게 찾습니다.
취약점을 빨리 찾는 것은 분명 긍정적인 일인데, 동시에 새로운 문제가 발생합니다.
취약점이 너무 빠르게, 너무 많이 발견되면 보안팀은 모든 취약점을 같은 속도로 처리할 수 없기 때문입니다.
실제 운영 환경에서는 패치 하나를 적용할 때도 서비스 영향, 호환성, 장애 가능성 등을 함께 고려해야 합니다.
그래서 중요한 것은 단순히 취약점을 많이 찾는 것이 아닙니다.
핵심은 우리 시스템에 실제로 영향을 주는 취약점을 빠르게 골라내고, 위험도가 높은 것부터 우선 조치하는 것입니다.
“개발사, 구매자, 통제 기관의 역할 변화“
공급망 보안은 SW를 만드는 기업만의 문제가 아닙니다. 개발사, 구매자, 통제 기관 모두의 역할이 함께 바뀌고 있습니다.
먼저 SW 개발사는 오픈소스를 활용해 빠르게 개발하는 수준을 넘어, 배포 이후까지 책임지는 체계가 필요합니다. 제품을 납품한 뒤 새로운 취약점이 공개되면 해당 취약점이 자사 제품에 영향을 주는지 즉시 확인해야 합니다.
특히 직접 사용한 오픈소스뿐 아니라, 그 오픈소스가 다시 의존하는 하위 구성요소까지 추적해야 합니다. 이를 전이 의존성이라고 합니다. 쉽게 말하면 내가 직접 넣은 부품뿐 아니라, 그 부품 안에 포함된 또 다른 부품까지 확인해야 한다는 뜻입니다.
SW 구매자의 관점도 달라지고 있습니다.
과거에는 어떤 소프트웨어를 몇 개 구매했는지, 라이선스가 몇 개인지가 중요했습니다. 이제는 그 소프트웨어가 무엇으로 구성되어 있는지, 어떤 위험을 가지고 있는지, 여러 공급사로부터 받은 SBOM을 어떻게 통합 관리 할지가 중요해졌습니다.
특히 공공기관이나 대기업처럼 다양한 소프트웨어를 도입하는 조직은 SBOM을 단순히 파일로 보관하는 것만으로는 충분하지 않습니다. 새로운 취약점이 공개될 때마다 어떤 제품이 영향을 받는지 실시간으로 분석할 수 있어야 합니다.
통제 기관도 중앙에서 실시간으로 확인하고 검증할 수 있는 체계가 필요합니다. 하위 기관이 어떤 SW를 사용하고 있는지, 고위험 취약점은 얼마나 남아 있는지, 패치가 제대로 진행되고 있는지 한눈에 확인할 수 있어야 합니다.
결국 공급망 보안은 개별 기업의 보안 활동을 넘어, 산업과 국가 차원의 신뢰 체계로 확장되고 있습니다.
“공급망 보안의 고도화 절실“
SBOM을 생성하는 것은 공급망 보안의 출발점입니다. 하지만 제대로 된 공급망 보안을 위해서는 훨씬 더 많은 기술이 필요합니다.
첫째, 다양한 취약점 데이터베이스를 통합해야 합니다.
취약점 정보는 NIST NVD, CVE, OSV, GHSA, KEV, 국내 KNVD 등 여러 출처에서 제공됩니다. 각 데이터는 형식과 기준이 다릅니다. 이를 수집하고, 중복을 정리하고, 실제 소프트웨어 구성요소와 정확히 연결하는 기술이 필요합니다. 이 과정에서는 PURL, CPE와 같은 식별자를 활용해 구성요소와 취약점 정보를 정규화해야 합니다. 서로 다른 이름으로 불리는 같은 부품과 같은 취약점을 정확히 알아봐야합니다.
둘째, 다양한 형태의 SW를 분석해야 합니다.
SW는 소스코드 형태로만 존재하지 않습니다. 이미 컴파일된 바이너리, 컨테이너 이미지, 운영 서버에 설치된 패키지 등 다양한 형태로 존재합니다.
공급망 보안 플랫폼은 소스코드뿐 아니라 바이너리, 컨테이너, 운영 시스템까지 분석할 수 있어야 합니다. 특히 운영 환경에서는 처음 배포된 상태와 실제 설치 상태가 달라지는 경우가 많습니다. 이를 운영 드리프트라고 합니다. 공급망 보안은 개발 단계에서 끝나는 것이 아니라 운영 단계에서도 계속되어야 합니다.
셋째, SW의 신뢰성을 증명해야 합니다.
SW가 안전하다는 것은 취약점이 적다는 의미만이 아닙니다. 개발부터 배포까지 과정이 조작되지 않았는지, 빌드 과정이 신뢰할 수 있는지, 배포 파일이 중간에 바뀌지 않았는지 확인할 수 있어야 합니다.
이를 위해 빌드 무결성 검증, 출처 추적, 보안 증명, 서명 및 해시 검증 같은 기술이 중요해지고 있습니다. 앞으로는 “어떤 소프트웨어를 만들었는가”뿐 아니라 “그 소프트웨어가 어떤 과정을 거쳐 안전하게 전달됐는가”까지 증명해야 합니다.
“래브라도랩스, 개발·구매·운영 전 과정 지원“
래브라도랩스는 SW 공급망 보안에 필요한 전 과정을 하나의 흐름으로 관리할 수 있도록 통합 공급망 보안 플랫폼을 제공합니다.
공급망 보안은 SW를 개발할 때만 필요한 것이 아닙니다. 조직 안으로 SW가 들어오기 전, 개발되는 과정, 납품과 구매, 실제 운영 환경까지 모두 연결되어야 합니다. 래브라도랩스는 이를 위해 다음과 같은 핵심 솔루션을 제공합니다.
1. CDB/VDB(Component DB / Vulnerability DB)는 공급망 보안의 데이터 기반입니다.
구성요소 데이터베이스와 취약점 데이터베이스를 구축하고, 여러 출처의 정보를 통합·정규화해 정확한 분석이 가능하도록 지원합니다
2. Labrador SCA(Software Composition Analysis)는 소스코드, 바이너리, 컨테이너 등에 포함된 오픈소스 구성요소를 자동으로 분석합니다.
개발자가 직접 모든 구성요소를 확인하지 않아도 SW 안에 어떤 오픈소스가 포함되어 있는지 파악할 수 있습니다.
3. IVAS (Integrated Vulnerability Analysis System)는 프로젝트 단위로 취약한 컴포넌트를 식별하고, 실제 영향도와 패치 우선순위를 판단합니다.
단순히 취약점 목록을 보여주는 것을 넘어, 어떤 취약점이 실제로 중요한지 판단할 수 있도록 돕습니다.
4. ISMP(Integrated SBOM Management Portal)는 SW 도입 조직을 위한 SBOM 수집·검증·통합 관리 플랫폼입니다.
여러 공급사로부터 받은 SBOM을 한곳에서 관리하고, 신규 취약점이 공개됐을 때 영향을 받는 제품을 빠르게 확인할 수 있습니다.
5. ServerCare는 운영 중인 서버와 시스템에 설치된 소프트웨어 및 구성요소를 지속적으로 모니터링합니다.
운영 환경의 변화와 드리프트를 확인하고, 실제 사용 중인 시스템의 위험을 관리할 수 있도록 지원합니다.
“SBOM 의무화 대응의 핵심은 ‘지속 관리’“
SBOM 의무화 시대가 다가오면서 많은 조직이 먼저 “SBOM 파일을 만들어야 한다”고 생각합니다.
물론 SBOM 생성과 제출은 중요합니다. 하지만 공급망 보안의 핵심은 파일 제출에서 끝나지 않습니다.
SBOM은 시작점입니다.
중요한 것은 그 목록을 바탕으로 새로운 취약점을 계속 확인하고, 실제 영향도를 분석하고, 패치 우선순위를 정하고, 운영 환경의 변화를 추적하는 것입니다. 즉, 공급망 보안은 한 번의 문서 작업이 아니라 지속적인 운영 체계입니다.
SW 공급망 보안은 규제 대응을 넘어, 조직이 사용하는 SW를 정확히 이해하고 위험을 빠르게 판단하기 위한 기본 역량입니다. 앞으로 기업과 기관의 보안 경쟁력은 SW가 무엇으로 만들어졌는지, 어떤 위험을 가지고 있는지, 얼마나 빠르게 대응할 수 있는지를 증명하는 능력에서 결정될 것입니다.
래브라도랩스는 개발, 구매, 운영 전 과정을 아우르는 통합 공급망 보안 플랫폼을 통해 SBOM 의무화 시대에 필요한 실질적인 대응 방안을 제공합니다.
📌 통합 공급망 보안 플랫폼 구축으로, SBOM 의무화 시대를 미리 준비하세요!
전화: 02-921-0419 (평일 09:00-18:00)
이메일: contact@labradorlabs.ai (1:1 데모 예약 및 견적 문의)