AI스페라, 정부 SBOM 실증사업 마무리…오픈소스 기반 자동화로 소프트웨어 공급망 보안 체계 고도화

- 자사 솔루션 ‘Criminal IP’와 SBOM 결합해 취약점 식별 및 대응 역량 강화

사진 - AI스페라의 SBOM 기반 소프트웨어 보안 솔루션 모델 예시 이미지 (AI스페라 제공)

AI 기반 사이버보안 기업 AI스페라(AI SPERA)는 정부 주도로 추진된 SBOM(Software Bill of Materials) 실증사업을 완료했다고 12일 밝혔다.

SBOM은 소프트웨어를 구성하는 오픈소스 및 서드파티 라이브러리의 출처, 버전, 라이선스 정보를 관리하는 체계로, 글로벌 공급망 보안 기준으로 활용 범위가 확대되고 있다. 미국과 유럽에서는 정부 조달과 주요 산업을 중심으로 SBOM 제출이 요구되고 있으나, 국내에서는 제도와 기술 적용이 초기 단계에 머물러 실제 운영 환경에서의 검증 사례가 제한적이라는 지적이 제기돼 왔다.

AI스페라는 이번 실증사업을 통해 SBOM 기반 보안 체계를 실제 서비스 환경에 적용했다. 아울러 자사 공격표면관리(ASM) 및 위협 인텔리전스 플랫폼 ‘Criminal IP(크리미널 IP)’와 SBOM을 연계해 자동화된 공급망 보안 운영 모델을 구축했다.

크리미널 IP에는 SBOM 체계가 적용돼 서비스에 포함된 모든 소프트웨어 구성 요소를 식별하고, 각 컴포넌트의 버전·출처·라이선스 정보를 관리할 수 있는 구조가 구현됐다. 이를 통해 외부 취약점 공개 시 해당 요소의 포함 여부와 영향 범위를 신속히 판단하고, 대응 우선순위를 설정할 수 있는 운영 환경을 마련했다.

또한 AI스페라는 SBOM 기반 자동화 체계를 통해 소프트웨어 자산 관리, 변경 이력 추적, 취약점 대응 과정을 하나의 흐름으로 정리했다. 해당 체계는 ISO/IEC 27001, SOC 2, PCI DSS, ISMS 등 주요 보안·컴플라이언스 요구사항은 물론 NIST 기반 보안 프레임워크와 FedRAMP, EU 공급망 투명성 규제까지 대응할 수 있도록 설계됐다. 이를 통해 크리미널 IP는 소프트웨어 변경과 관련한 이력 정보를 재현 가능한 데이터 형태로 제시할 수 있는 체계를 갖추게 됐다.

이와 함께 AI스페라는 취약점 대응 판단과 조치 시간을 단축하고, 감사 및 규제 대응을 위한 증빙 체계도 확보했다고 설명했다. 회사 측에 따르면 SBOM과 크리미널 IP를 결합한 운영 모델은 공급망 보안 대응의 일관성과 운영 안정성을 높이는 요소로 평가되고 있다.

AI스페라 강병탁 대표는 “국내 SBOM 도입이 아직 초기 단계이지만, AI스페라는 선제적인 기술 개발과 조직적 준비를 통해 공급망 보안 생태계 고도화에 힘쓰고 있다”며 “SBOM이 국내 소프트웨어 보안 체계의 중요한 기반이 될 것으로 보고, 관련 제도 대응과 전담 조직 운영을 통해 기술과 운영이 결합된 공급망 보안 모델을 구축해 나갈 계획”이라고 밝혔다.

한편, AI스페라는 Criminal IP ASM(공격표면관리)과 Criminal IP TI(위협 인텔리전스)를 중심으로 국내외 보안 시장에서 사업을 확대하고 있으며, 팔로알토 네트웍스와 스노우플레이크 등 글로벌 기업과의 협력을 통해 경쟁력을 강화하고 있다.