SBOM은 제조업에서 사용하는 부품표(BOM) 개념을 착안한 용어다. 소프트웨어(SW) 구성요소를 식별할 수 있도록 돕는 일종의 명세서다. 식품 영향정보처럼 SW에 어떤 부품이 포함됐는지 알려주는 것이다. 개발사-공급사-운영사 간 정보 비대칭성을 해결해주는 게 핵심이다. SW부품 간 포함 관계를 확인할 수 있어 취약점 등 문제 발생 시 빠르게 대응할 수 있다.

디지털전환(DX) 가속화로 국민 일상생활은 물론 산업 전반에서 SW 비중이 높아졌다. 특히 모든 디지털 제품·서비스가 네트워크 연결됨에 따라 SW 보안 취약점을 악용하거나 SW공급망에 침투해 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 커지고 있다.

미국·유럽 등 해외 주요국은 발빠르게 공급망 보안 대응에 나섰다. 미국은 연방정부 납품 SW 보안 강화를 위한 '지침 준수'와 '자체 증명' 제출을 연내 시행할 예정이다. 특히 식품의약품안전청(FDA)은 의료기기 시장 출시 전 SBOM을 요구한다. 유럽은 SBOM 제도화 막바지에 이르렀다. 일본은 의료와 자동차 분야에서 SBOM 실증과 적용을 확대하고 있다. 지난해 12월에는 미국·일본·인도·호주 등 4개국 회담에서 '안전한 SW를 위한 공동 원칙'을 재확인한 바 있다. 이 때문에 국내 SW기업이 무역장벽에 맞닥뜨릴 수 있다는 우려도 제기된다.

국내에서도 최근 SBOM을 찾아주는 서비스가 생겨나 안전한 생태계 조성에 도움을 주고 있다. 정부는 'SW 공급망 거점'을 구축하고 SW 개발생명주기 관리를 SW 공급망 보안 관리 체계로 확장할 계획이다.