처음에 소프트웨어 자재 명세서(SBOM)는 소프트웨어 라이선스 규정 준수를 처리하기 위해 자동차 산업 외부에서 개발되었습니다. 이후 취약성 추적에 대한 SBOM의 이점이 널리 알려지면서 이제는 미래의 소프트웨어 정의 차량(SDV)을 보호하기 위한 노력의 일환으로 배포되고 있습니다.
SBD Explores 의 이 에디션 에서는 자동차 업계에서 SBOM의 현황을 살펴보고, 자동차 기업 내부와 더 넓은 소프트웨어 에코시스템 모두에서 이점과 한계를 살펴보고, 차량 소프트웨어의 안전을 유지하기 위해 필요한 방향을 공유합니다.
무슨 일이 일어나고 있나요?
SBOM은 중요한 품질 추적 및 검증 프로세스를 가능하게 하는 기계 판독 가능한 형식입니다.
최신 차량에는 OEM, 공급업체 및 타사의 소프트웨어 구성 요소가 포함되어 있습니다. 따라서 추적성을 보장하기 위해서는 강력한 문서화가 필요합니다.
자동차 제조업체는 SBOM과 취약점을 비교할 수 있습니다. 이를 통해 더 빠른 수정 사항을 적용하거나 적절한 완화 조치를 선택할 수 있습니다. 공통 취약점 및 노출(CVE)을 식별하고 영향을 받는 모듈을 재사용하지 못하도록 차단할 수 있습니다.
에코시스템 전반에서 SBOM은 사용되는 소프트웨어 라이브러리를 검증하는 데 도움이 될 수 있습니다. 파트너는 향후 구성 요소에서 고정된 버전만 사용하도록 하는 데 어려움을 겪어 왔습니다.
자동차는 아니지만, 2021~2022년에 널리 사용되는 오픈 소스 Java 개발 라이브러리에서 Log4j/Log4Shell 소프트웨어 결함이 발견되었습니다. 이 문제를 해결하면서 모든 사이버 부서는 출시된 제품에 사용되는 라이브러리 버전을 추적하고 제어하는 것이 중요하다는 것을 깨달았습니다.
SBOM은 공급망 보안 문제를 해결하기 위해 자동차 OEM에서 상당한 관심과 실행을 보이고 있습니다.
왜 중요한가요?
규제 당국은 현재 SBOM을 '점검 항목'으로 사용하고 있지만, 신중한 통합을 통해 보안 목표를 달성할 수 있습니다.
OEM 소프트웨어 관리는 복잡한 규제 프레임워크에 부합해야 합니다. 공급업체, 컨소시엄 및 사내에서 늘어나는 소프트웨어 소스 코드와 바이너리를 관리하려면 표준 형식과 도구가 필요합니다.
공급망 공격은 소프트웨어 소스의 진위 여부를 확인해야 할 필요성을 보여줍니다. SBOM은 프로젝트와 산업 전반에 걸쳐 효율적인 방법을 제공합니다.
규정과 모범 사례 지침은 제조업체가 우수한 사이버 보안 관행을 따르도록 유도합니다. OEM은 비용을 최소화하면서 이점을 극대화할 수 있는 프로세스를 구현해야 합니다.
SBOM 시스템이 개발 및 업데이트 프로세스에 내장되어 있는 경우 구현된 수정 사항을 신속하게 전파하는 데 도움이 됩니다.
SBOM은 OEM과 공급업체 간에 책임을 전가하는 도구가 아니라, 수정 속도를 높이고 알려진 취약점이 배포되는 것을 방지해야 합니다.
다음은 어디인가요?
OEM은 소프트웨어 정의 차량 전환을 통해 자동차 소프트웨어의 가치 창출을 보다 명확하게 파악하고 효율적으로 보호할 수 있습니다.
자동차의 소프트웨어 가치에 대한 OEM의 참여가 증가함에 따라 조직 내외부의 소프트웨어 시스템 종속성에 대한 이해가 깊어지고 있습니다. 이러한 이해에는 라이선스, 원저자, 소프트웨어 패키지의 현재 유지 관리자를 추적하는 것이 포함됩니다.
단기적으로 기존 코드를 스캔하여 SBOM을 생성하면 시스템 모듈 통합자가 우려하는 영역을 강조할 수 있습니다. 소프트웨어 작성자가 개발 흐름에 SBOM을 추가하면 종속성 옵션의 상대적 위험에 대한 가시성이 높아져 시스템 견고성이 향상될 것입니다.
OEM이 차세대 소프트웨어 정의 차량을 위해 더 많은 소프트웨어를 자체적으로 구축함에 따라, 내부 SBOM을 더 잘 추적하여 알려진 취약점을 출시 전에 수정할 수 있습니다.
OEM은 신뢰할 수 있는 파트너와 함께 SBOM의 사용을 실험하고 있습니다. 이는 공급망 전반에 걸쳐 첫 번째 취약성 뉴스부터 영향을 받는 시스템 및 서비스의 신속한 수리까지 향상된 추적성을 제공하기 위한 것입니다.
SBOM은 R156의 요구 사항을 충족하며 무선 업데이트의 견고성을 향상시킵니다.
장기적으로 소비자들은 차량 생태계를 더욱 안전하게 보호하기 위해 공통 미들웨어를 위한 OEM SBOM 표준화를 통해 더 빠른 업데이트와 리콜 감소의 혜택을 누릴 수 있습니다.
주의해야 할 대상은 누구인가요?
인증 기관 및 표준 단체는 자동차 업계와 협력하여 협업을 통해 사이버 보안 수준을 높이고 있습니다.
OEM은 향후 형식 승인 규정의 요구 사항을 충족하기 위해 SBOM 프로세스를 개선해야 합니다.
인증 기관은 날로 증가하는 사이버 보안 문제를 해결하기 위해 지속적인 개선이 필요할 것으로 예상합니다. 현재 승인에 사용되는 것과 동일한 방법이 미래에도 충분할 것이라고 생각하는 것은 실수입니다.
Auto-ISAC와 GlobalPlatform은 자동차 SBOM 워킹 그룹을 운영하는 조직의 두 가지 예입니다.
일반 SBOM 형식, 프로토콜 및 표준은 업계의 피드백과 변화하는 기술을 바탕으로 계속 개선되고 있습니다.
강력한 SBOM 구현에 따라 추가 요구 사항과 권장 사항이 있을 것으로 예상됩니다.
어떻게 대응해야 할까요?
Embrace
전사적 및 에코시스템 소프트웨어 모듈 버전과 제어를 활성화하여 SBOM 배포 및 개발을 수용하세요.
구현
SBOM을 활용하여 '왼쪽으로 이동'하면 추적성이 향상되어 취약성이 줄어들고 패치가 더 빨라지는 이점을 누릴 수 있습니다.
협업
업계 컨소시엄 및 도구 공급업체 파트너를 파악하여 자동차 애플리케이션을 위한 기존 SBOM 솔루션 및 프로세스의 배포를 최적화합니다.
자세히 알아보고 싶으신가요?
대부분의 업무는 고객 맞춤형 프로젝트를 통해 고객이 새로운 도전과 기회로 나아갈 수 있도록 지원하는 것입니다. 사이버 보안과 관련하여 최근 완료한 프로젝트에 대해 논의하고 싶다면 지금 바로 문의하세요!
관련 콘텐츠도 꼭 확인해 보세요:
