AI·클라우드 전환이 가속화되면서 소프트웨어 공급망 보안은 기업 보안의 핵심 과제로 부상하고 있다. 특히 컨테이너 기반 애플리케이션은 복잡한 종속성과 다계층 구조로 인해 잠재적 취약점이 쉽게 숨겨진다. 이에 따라 각 구성 요소를 명확히 파악하고, 배포 전에 보안성을 검증하는 소프트웨어 자재 명세서(SBOM, Software Bill of Materials)의 중요성이 높아지고 있다. 미국 사이버보안·인프라보안국(CISA)은 이미 SBOM 생성을 연방 표준으로 규정해 필수화하고 있다.

규정 준수 컨테이너 이미지 분야 글로벌 기업 클린스타트(CleanStart)가 완전한 CISA 규격 SBOM을 생성하는 통합 애드온 도구 ‘SBOM 애널라이저(SBOM Analyzer)’를 공개했다. 이 도구는 소프트웨어 구성 요소 및 종속성에 대한 가시성을 높여, 기업이 배포 전에 공급망을 안전하게 보호할 수 있도록 지원한다.

CISA 기준 충족, AI 구성요소까지 포괄하는 SBOM

SBOM 애널라이저는 클린스타트 플랫폼에 직접 통합되어 컨테이너 이미지 내부의 모든 계층과 종속성을 자동으로 매핑한다. 이를 통해 기업은 배포 전 단계에서부터 구성 요소, 버전, 출처 정보를 명확히 파악하고 공급망 위협을 조기에 차단할 수 있다.

이 도구는 미국 국토안보부 산하 CISA의 초안 지침을 충족하며, 기본 규격을 넘어 타임스탬프·작성자 정보·출처 데이터까지 통합한 고도화된 추적 기능을 제공한다. 또한 클린스타트의 24시간 이미지 갱신 주기와 연동되어 SBOM 데이터를 자동으로 업데이트하므로, 개발자는 별도의 수작업 없이 항상 최신 상태의 문서를 유지할 수 있다.

새롭게 추가된 ‘AI-SBOM’ 기능은 엔터프라이즈 AI 애플리케이션에 사용되는 대규모 언어 모델(LLM) 구성 요소를 분석해, 프로덕션 모델에서 간과되기 쉬운 숨겨진 종속성을 찾아낸다. 이를 통해 조직은 AI 모델 내 라이브러리·API·데이터 세트까지 포함한 완전한 보안 검증을 수행할 수 있다.

속도와 보안 충족

클린스타트의 CEO 나일레시 제인(Nilesh Jain)은 “SBOM은 더 이상 선택이 아닌 의무가 되었으며, 우리의 분석기는 CISA의 최소 기준을 넘어 AI 모델까지 포괄한다”고 말했다. 그는 “팀이 실제 운영 환경에 배포하기 전, 취약성을 선제적으로 파악할 수 있도록 지원한다”고 밝혔다.

또한 CTO 비스와짓 데(Biswajit De)는 “개발자는 속도와 보안 중 하나를 선택해야 하는 상황이 되어서는 안 된다”며 “애널라이저는 이미지 강화 프로세스에 직접 통합되어 모든 컨테이너가 기본적으로 검증된 SBOM을 포함하도록 설계됐다”고 설명했다. 그는 “정확성과 자동화를 동시에 실현했다”고 강조했다.

클린스타트 SBOM 애널라이저는 컨테이너 이미지 내 모든 구성 요소를 자동으로 매핑하고, 지속적 갱신을 통해 보안팀과 개발팀 간 협업 효율성을 높인다. 이로써 기업은 실시간 보안 점검, 규정 준수 자동화, 운영 효율성을 동시에 확보할 수 있다.

현재 SBOM 애널라이저는 클린스타트 플랫폼을 통해 바로 이용 가능하며, 개발자는 완전하고 최신 상태의 SBOM 데이터에 즉시 접근할 수 있다. 클린스타트는 향후 글로벌 규제 준수 요구사항 변화에 맞춰 기능을 지속적으로 확장해 나갈 계획이다.