FDA 의료기기 사이버보안 SBOM 가이드: NTIA 최소 구성

본 포스팅에서는 미국 FDA 사이버보안에서 필수적으로 관리해야 할 SBOM(Software Bill of Materials)에 대해 알아보겠습니다.

미국 FDA 사이버보안 – SBOM

소프트웨어 자재 명세서

와이즈컴퍼니는 다수의 업체의 미국 FDA 사이버보안 지도를 성공적으로 진행 혹은 완료하였으며, 이와 관련 지도 서비스를 제공 드리고 있습니다.

📧 문의

제품 정보와 필요하신 서비스를 이메일 info@wisecompany.org로 보내주시면 성심성의껏 도움 드리도록 노력하겠습니다.

사이버보안 지도 대상 및 항목

대상	지도 항목
다음 기준 중 하나라도 충족하는 의료기기 다른 장치/시스템과 통신할 수 있는 경우 네트워크/서버 연결이 있는 경우 무선 통신 형태를 사용하는 경우 (블루투스, Wi-Fi 등) USB 포트와 같은 접근을 허용하는 경우 소프트웨어/펌웨어 다운로드를 허용하는 경우 클라우드 저장 혹은 기타 서비스를 사용하는 경우	✅ 사이버보안 시험 Vulnerability Assessment Penetration Testing ✅ 사이버보안 문서화 Risk Management Assessment of Unresolved Anomalies Cybersecurity Metrics Cybersecurity Controls Cybersecurity Labeling Cybersecurity Management Plan Interoperability (필요 시)

대상

지도 항목

다음 기준 중 하나라도 충족하는 의료기기

다른 장치/시스템과 통신할 수 있는 경우
네트워크/서버 연결이 있는 경우
무선 통신 형태를 사용하는 경우 (블루투스, Wi-Fi 등)
USB 포트와 같은 접근을 허용하는 경우
소프트웨어/펌웨어 다운로드를 허용하는 경우
클라우드 저장 혹은 기타 서비스를 사용하는 경우

✅ 사이버보안 시험

Vulnerability Assessment
Penetration Testing

✅ 사이버보안 문서화

Risk Management
Assessment of Unresolved Anomalies
Cybersecurity Metrics
Cybersecurity Controls
Cybersecurity Labeling
Cybersecurity Management Plan
Interoperability (필요 시)

SBOM(Software Bill of Materials)이란?

SBOM은 소프트웨어 자재 명세서라고 하며, 미국 국가통신정보청(National Telecommunications and Information Administration, NTIA)에 따르면, 소프트웨어 개발에 사용되는 구성 요소와 해당 소프트웨어 공급망 관계를 기록한 공식적인 문서입니다.

SBOM의 필요성

최근 사이버보안 업계에서는 솔라윈즈 사건과 Log4j 취약점 사건과 같은 일련의 보안 사고가 발생하면서, 오픈 소스 소프트웨어를 비롯한 소프트웨어 구성 요소 관리의 중요성이 대두되었습니다.

⚠️ 소프트웨어 공급망 보안

많은 소프트웨어가 다양한 외부 라이브러리와 오픈 소스 구성 요소에 의존하고 있어 이러한 구성 요소를 효과적으로 관리할 필요성이 커졌습니다.

NTIA SBOM 최소 구성 요소

NTIA는 2021년 7월에 SBOM이 갖춰야 할 최소 구성 요소를 발표했습니다. 이 최소 구성 요소는 데이터 필드, 자동화 지원, 관행 및 절차의 세 가지 범주로 나뉘며, 각 범주는 소프트웨어 보안 관리를 강화하기 위한 구체적인 기준을 제시하고 있습니다.

데이터 필드 (Data Fields)

데이터 필드는 SBOM에 필수적으로 포함되어야 하는 정보들을 정의합니다. 각 소프트웨어 구성 요소와 관련된 상세 정보를 기록하여, 추후 소프트웨어의 출처와 구성 요소에 대한 명확한 이해를 돕습니다.

SBOM 필수 데이터 필드

생산자 혹은 제공자 – 소프트웨어나 라이브러리의 원 제작자
소프트웨어 컴포넌트 이름 – 특정 구성 요소의 공식적인 명칭
버전 정보 – 해당 소프트웨어 컴포넌트의 버전 정보
고유 식별자 – 각 구성 요소를 식별할 수 있는 고유한 ID (예: CPE, PURL 등)
종속성 관계 – 다른 구성 요소와의 종속성 정보
작성자 정보 – 개발자 또는 팀에 대한 정보
생성 및 업데이트 날짜 – 생성 혹은 최신 업데이트 날짜

자동화 지원 (Automation Support)

SBOM은 자동화된 도구를 활용해 생성하고 유지하는 것이 필수적입니다. 이를 통해 정확도를 높이고 수작업으로 인한 오류를 방지할 수 있습니다.

📋 표준화된 데이터 포맷

RDFa, .xlsx, .spdx, .xml, .json, .yaml 등의 표준화된 데이터 포맷 적용
SPDX, CycloneDX, SWID 등의 표준 사용
사용하고자 하는 표준의 형식을 따라야 함

관행 및 절차 (Practices and Procedures)

이 파트에서는 SBOM을 언제, 어떻게 업데이트하고 어떻게 제공할지에 대한 표준을 제시합니다.

포함 사항

배포 및 공유 방법
권한 관리
종속성에 관한 정보

NTIA SBOM 최소 구성 요소 요약

범주	주요 내용	목적
데이터 필드	• 생산자/제공자 • 컴포넌트 이름 • 버전 정보 • 고유 식별자 • 종속성 관계 • 작성자 정보 • 생성/업데이트 날짜	구성 요소 추적 및 관리
자동화 지원	• 자동화 도구 활용 • 표준 포맷 사용 (SPDX, CycloneDX, SWID)	정확도 향상 및 오류 방지
관행 및 절차	• 업데이트 기준 • 배포/공유 방법 • 권한 관리	체계적 관리 및 공유

결론

최근 들어 소프트웨어의 보안이 기업의 신뢰와 직결되면서, SBOM은 필수적인 보안 도구로 자리 잡고 있습니다.

SBOM을 통해 우리는 소프트웨어 공급망을 더욱 체계적으로 관리하고, 잠재적 보안 위협에 신속히 대응할 수 있게 됩니다.

SBOM을 적극 활용해 안전한 소프트웨어 환경을 구축해 나가길 기대합니다.

SBOM 구축 체크리스트

생산자/제공자 정보 명확화
소프트웨어 컴포넌트 이름 및 버전 정보 수집
고유 식별자(CPE, PURL) 할당
종속성 관계 매핑
작성자 정보 및 생성/업데이트 날짜 기록
자동화 도구 선정 및 적용
표준 포맷(SPDX, CycloneDX, SWID) 선택
업데이트 및 배포 절차 수립