소프트웨어 구성 요소에 대한 적절한 주의 의무 (SBOM 및 공급망)

규정(EU) 2024/2847 제13조 제5항은 제조업체가 제품에 포함된 소프트웨어 구성 요소가 해당 제조업체가 개발하지 않은 경우, 해당 구성 요소에 관하여 본 규정에 따른 의무를 이행할 수 있도록 보장하도록 의무화합니다.

이는 제조업체가 구성 요소를 식별·문서화하고 제3자 구성 요소의 취약점을 지체 없이 해결하도록 요구하는 부속서 I 제1부 §2에 의해 강화됩니다.

부속서 VII는 기술 문서에 모든 소프트웨어 구성 요소의 기계 판독 가능한 목록인 SBOM을 포함하도록 명시적으로 요구합니다.

1. SBOM — 공인 형식(ENISA 지침에 부합하는 CycloneDX 또는 SPDX)으로 소프트웨어 구성 요소 목록 작성 및 유지
2. 구성 요소 검토 — 포함 전에 제3자 구성 요소의 알려진 취약점 검토
3. CVE/EUVD 모니터링 — 지원 기간 내내 새로 공개된 취약점에 대해 구성 요소를 지속적으로 모니터링
4. 계약적 요건 부과 — 구성 요소 공급업체 자체가 디지털 요소가 포함된 제품의 제조업체인 경우, 취약점 처리 정보가 귀하에게 전달되도록 보장
5. 알려진 취약 구성 요소 미사용 — 알려진 악용 가능한 취약점이 있는 구성 요소를 포함하여 출시하지 않음 (납품 시점 점검에 관한 OBL-ART13-06 참조)

ENISA 지침 및 CRA 부속서 VII에 따르면 SBOM에는 다음이 포함되어야 합니다.

• 구성 요소 명칭 및 공급업체
• 버전 식별자
• 구성 요소 해시값 (무결성 검증용)
• 종속성 관계
• 알려진 라이선스

• 버전 관리된 CycloneDX 또는 SPDX 형식의 SBOM
• 소프트웨어 구성 분석(SCA) 스캔 결과
• 구성 요소 취약점 평가 기록
• 취약점 공개를 포함하는 구성 요소 공급업체와의 계약 조항
• 제3자 구성 요소에 대한 CVE 모니터링 기록 및 패치/업데이트 이력