AI 기반 사이버보안 기업 AI스페라(AI SPERA)가 정부 주도로 추진된 SBOM(Software Bill of Materials) 실증사업을 완료했다고 12일 밝혔다. 이번 실증을 통해 국내 소프트웨어 공급망 보안 체계에 SBOM을 실제 서비스 환경에 적용한 사례를 확보했다.
SBOM은 소프트웨어를 구성하는 오픈소스 및 서드파티 라이브러리의 출처, 버전, 라이선스 정보를 체계적으로 관리하는 방식으로, 글로벌 공급망 보안 기준으로 활용되고 있다. 미국과 유럽에서는 정부 조달과 주요 산업을 중심으로 SBOM 제출이 요구되고 있으나, 국내에서는 제도와 기술 적용이 초기 단계에 머물러 실증 사례가 제한적이었다.
AI스페라는 이번 실증사업에서 자사 공격표면관리(ASM) 및 위협 인텔리전스 플랫폼인 ‘Criminal IP(크리미널 IP)’에 SBOM 체계를 연계해 공급망 보안을 자동화된 운영 모델로 구현했다. 크리미널 IP에는 서비스에 포함된 모든 소프트웨어 구성 요소를 식별하고, 각 컴포넌트의 버전, 출처, 라이선스 정보를 관리할 수 있는 구조가 적용됐다.
이를 통해 외부에서 신규 취약점이 공개될 경우 해당 요소의 포함 여부와 영향 범위를 신속히 파악하고, 대응 우선순위를 설정할 수 있는 환경이 구축됐다. 또한 SBOM 기반 자동화 체계를 통해 소프트웨어 자산 관리, 변경 이력 추적, 취약점 대응 과정을 하나의 흐름으로 구조화했다.
해당 체계는 ISO/IEC 27001, SOC 2, PCI DSS, ISMS 등 주요 보안 및 컴플라이언스 요구사항과 함께 NIST 기반 보안 프레임워크, FedRAMP, EU 공급망 투명성 규제에 대응할 수 있도록 설계됐다. 이를 통해 소프트웨어 변경과 관련된 이력 정보를 재현 가능한 데이터로 관리할 수 있는 기반을 마련했다.
AI스페라는 이번 실증을 통해 취약점 대응 판단과 조치 시간을 단축하고, 감사 및 규제 대응을 위한 증빙 체계를 확보했다고 설명했다. SBOM과 크리미널 IP를 결합한 운영 모델은 공급망 보안 대응의 일관성과 운영 안정성을 높이는 요소로 평가된다.
강병탁 AI스페라 대표는 “SBOM 도입이 초기 단계인 국내 환경에서 실증을 통해 적용 가능성을 확인했다”며 “기술과 운영을 결합한 공급망 보안 모델을 지속적으로 고도화해 나갈 계획”이라고 밝혔다.
- 관련 기사 더 보기
AI Spera Completes Government-Led SBOM Demonstration Project
AI-based cybersecurity company AI SPERA announced on the 12th that it has completed a government-led Software Bill of Materials (SBOM) demonstration project. This demonstration provided a practical example of applying SBOM to a real-world service environment within the domestic software supply chain security system.
SBOM systematically manages the source, version, and license information of open source and third-party libraries that make up software, and is being used as a global supply chain security standard. In the US and Europe, SBOM submissions are required primarily for government procurement and major industries. However, in Korea, the system and technology are still in their infancy, with limited empirical examples.
In this demonstration project, AI Spera integrated its SBOM system with its Attack Surface Management (ASM) and threat intelligence platform, Criminal IP, to implement an automated operating model for supply chain security. Criminal IP features a structure that identifies all software components within the service and manages each component's version, source, and license information.
This created an environment where, when a new vulnerability is disclosed externally, the inclusion of that element and its scope of impact could be quickly identified, and response priorities could be established. Furthermore, an SBOM-based automation system structured software asset management, change history tracking, and vulnerability response processes into a single workflow.
The system is designed to address key security and compliance requirements, including ISO/IEC 27001, SOC 2, PCI DSS, and ISMS, as well as the NIST-based security framework, FedRAMP, and EU supply chain transparency regulations. This provides a foundation for managing historical information related to software changes as reproducible data.
AI Spera explained that through this demonstration, it has shortened the time it takes to assess and address vulnerabilities and established a supporting evidence system for audits and regulatory compliance. The operational model, which combines SBOM and criminal IP, is considered a factor that enhances the consistency of supply chain security response and operational stability.
Kang Byeong-tak, CEO of AI Spera, said, “We have verified the applicability of SBOM through demonstration in the domestic environment where its introduction is in its early stages,” and added, “We plan to continuously advance the supply chain security model that combines technology and operations.”
- See more related articles
AIスペラ、政府主導SBOM実証事業完了
AIベースのサイバーセキュリティ企業AIスペラ(AI SPERA)が政府主導で推進されたSBOM(Software Bill of Materials)実証事業を完了したと12日明らかにした。今回の実証を通じて、国内ソフトウェアサプライチェーンのセキュリティ体系にSBOMを実際のサービス環境に適用した事例を確保した。
SBOMは、ソフトウェアを構成するオープンソースおよびサードパーティライブラリのソース、バージョン、ライセンス情報を体系的に管理する方式で、グローバルサプライチェーンセキュリティ基準として活用されている。米国とヨーロッパでは政府調達と主要産業を中心にSBOM提出が要求されているが、国内では制度と技術適用が初期段階にとどまり、実証事例が制限的だった。
AIスペラは今回の実証事業で、自社攻撃表面管理(ASM)および脅威インテリジェンスプラットフォームである「Criminal IP(クリミナルIP)」にSBOM体系を連携し、サプライチェーンセキュリティを自動化された運営モデルとして実装した。クリミナルIPには、サービスに含まれるすべてのソフトウェアコンポーネントを識別し、各コンポーネントのバージョン、ソース、ライセンス情報を管理できる構造が適用された。
これにより、外部から新規脆弱性が公開される場合、該当要素が含まれているかどうかと影響範囲を迅速に把握し、対応優先順位を設定できる環境が構築された。また、SBOMベースの自動化スキームを通じて、ソフトウェア資産管理、変更履歴追跡、脆弱性対応プロセスを1つの流れにまとめました。
このシステムは、ISO / IEC 27001、SOC 2、PCI DSS、ISMSなどの主要なセキュリティおよびコンプライアンス要件とともに、NISTベースのセキュリティフレームワーク、FedRAMP、EUサプライチェーンの透明性規制に対応できるように設計されています。これにより、ソフトウェア変更に関する履歴情報を再現可能なデータで管理できる基盤を設けた。
AIスペラは今回の実証を通じて脆弱性対応判断と措置時間を短縮し、監査及び規制対応のための証拠体系を確保したと説明した。 SBOMとクリミナルIPを組み合わせた運用モデルは、サプライチェーンセキュリティ対応の一貫性と運用安定性を高める要因と評価される。
カン・ビョンタクAIスペラ代表は「SBOM導入が初期段階の国内環境で実証を通じて適用可能性を確認した」とし「技術と運営を組み合わせたサプライチェーンセキュリティモデルを継続的に高度化していく計画」と明らかにした。
- 関連記事をもっと見る
AI Spera 完成政府主导的 SBOM 示范项目
基于人工智能的网络安全公司AI SPERA于12日宣布,已完成一项政府主导的软件物料清单(SBOM)示范项目。该示范项目为在国内软件供应链安全系统中将SBOM应用于实际服务环境提供了实例。
SBOM系统地管理构成软件的开源库和第三方库的来源、版本和许可信息,并被用作全球供应链安全标准。在美国和欧洲,SBOM提交主要用于政府采购和主要行业。然而,在韩国,该系统和技术仍处于起步阶段,经验案例有限。
在这个演示项目中,AI Spera 将其 SBOM 系统与其攻击面管理 (ASM) 和威胁情报平台 Criminal IP 集成,从而实现了供应链安全的自动化运营模式。Criminal IP 具有一个结构,可以识别服务中的所有软件组件,并管理每个组件的版本、来源和许可证信息。
这创造了一种环境,当外部披露新的漏洞时,可以快速识别该漏洞及其影响范围,并确定响应优先级。此外,基于SBOM的自动化系统将软件资产管理、变更历史跟踪和漏洞响应流程整合到一个统一的工作流程中。
该系统旨在满足关键的安全和合规性要求,包括 ISO/IEC 27001、SOC 2、PCI DSS 和 ISMS,以及基于 NIST 的安全框架、FedRAMP 和欧盟供应链透明度法规。这为管理与软件变更相关的历史信息(作为可重现数据)奠定了基础。
AI Spera解释说,通过此次演示,他们缩短了评估和解决漏洞所需的时间,并建立了一套支持审计和监管合规的证据体系。该运营模式结合了供应链安全运营管理(SBOM)和犯罪知识产权,被认为是提高供应链安全响应一致性和运营稳定性的关键因素。
AI Spera 首席执行官康炳卓表示:“我们已经在国内环境中进行了演示,验证了 SBOM 的适用性,目前 SBOM 的引入还处于早期阶段。”他还补充道:“我们计划不断推进将技术和运营相结合的供应链安全模式。”
- 查看更多相关文章
AI Spera achève un projet de démonstration SBOM mené par le gouvernement
La société de cybersécurité basée sur l'IA, AI SPERA, a annoncé le 12 avoir mené à bien un projet de démonstration de nomenclature logicielle (SBOM) piloté par le gouvernement. Cette démonstration a fourni un exemple concret d'application de la SBOM à un environnement de service réel au sein du système de sécurité de la chaîne d'approvisionnement logicielle nationale.
SBOM gère systématiquement les informations relatives à la source, à la version et à la licence des bibliothèques open source et tierces qui composent les logiciels, et sert de norme mondiale pour la sécurité des chaînes d'approvisionnement. Aux États-Unis et en Europe, les soumissions SBOM sont principalement requises pour les marchés publics et les grandes industries. En Corée, en revanche, le système et la technologie sont encore à leurs débuts et les exemples concrets restent limités.
Dans le cadre de ce projet de démonstration, AI Spera a intégré son système SBOM à sa plateforme de gestion de la surface d'attaque (ASM) et de veille sur les menaces, Criminal IP, afin de mettre en œuvre un modèle opérationnel automatisé pour la sécurité de la chaîne d'approvisionnement. Criminal IP dispose d'une structure qui identifie tous les composants logiciels du service et gère les informations relatives à la version, à la source et à la licence de chaque composant.
Cela a permis de créer un environnement où, lorsqu'une nouvelle vulnérabilité est divulguée en externe, son implication et son impact peuvent être rapidement identifiés, et les priorités de réponse établies. De plus, un système d'automatisation basé sur la nomenclature des actifs logiciels (SBOM) a structuré la gestion des actifs logiciels, le suivi de l'historique des modifications et les processus de réponse aux vulnérabilités au sein d'un flux de travail unique.
Le système est conçu pour répondre aux principales exigences de sécurité et de conformité, notamment les normes ISO/IEC 27001, SOC 2, PCI DSS et ISMS, ainsi que le cadre de sécurité basé sur les recommandations du NIST, FedRAMP et la réglementation européenne sur la transparence de la chaîne d'approvisionnement. Il permet de gérer l'historique des modifications logicielles sous forme de données reproductibles.
AI Spera a expliqué que cette démonstration a permis de réduire le temps nécessaire à l'évaluation et à la correction des vulnérabilités et de mettre en place un système de preuves à l'appui des audits et de la conformité réglementaire. Le modèle opérationnel, qui combine SBOM et propriété intellectuelle criminelle, est considéré comme un facteur renforçant la cohérence des réponses en matière de sécurité de la chaîne d'approvisionnement et la stabilité opérationnelle.
Kang Byeong-tak, PDG d'AI Spera, a déclaré : « Nous avons vérifié l'applicabilité de SBOM grâce à une démonstration dans l'environnement national où son introduction n'en est qu'à ses débuts », et a ajouté : « Nous prévoyons de faire progresser continuellement le modèle de sécurité de la chaîne d'approvisionnement qui combine technologie et opérations. »
- Voir plus d'articles connexes
You must be logged in to post a comment.