CC-SBOM - Confidential Computing SBOM

Confidential Computing SBOM

SBOM(Software Bill of Materials)은 소프트웨어를 구성하는 모든 컴포넌트 목록으로, 취약점 관리와 공급망 보안의 핵심입니다. 그러나 SBOM 생성을 위해 소스코드나 바이너리를 외부 서비스에 제공하면 기밀 정보가 유출될 수 있습니다.

CC-SBOM은 CC-BOX의 신뢰 실행 환경(TEE)에서 SBOM을 생성하여 사용자의 소스코드와 영업비밀을 노출하지 않고도 정확한 SBOM과 실시간 취약점 정보를 제공합니다.

SBOM Supply Chain Security Vulnerability Management TEE 기반 분석

SBOM(Software Bill of Materials)이란?

SBOM은 소프트웨어에 포함된 모든 오픈소스, 서드파티 라이브러리, 내부 컴포넌트의 목록입니다. 미국 행정명령(EO 14028), EU CRA 등 주요 국가와 지역에서 SBOM 제출을 의무화하고 있으며, Log4Shell 같은 공급망 취약점 사태로 인해 SBOM의 중요성이 급부상하고 있습니다. CC-SBOM은 이러한 SBOM을 소스코드 노출 없이 안전하게 생성합니다.

사용자 기밀정보 유출 방지

SBOM 분석 시 소스코드, 바이너리, 영업비밀 등 기밀 정보를 CC-BOX 신뢰 실행 환경(TEE)에서 처리하여 서비스 제공자도 접근할 수 없도록 완전히 보호합니다.

실시간 취약점 관리 서비스

생성된 SBOM을 CVE, NVD 등 취약점 데이터베이스와 실시간으로 대조하여 새로운 취약점 발견 시 즉시 알림을 제공합니다. Log4Shell 같은 제로데이 공격에도 신속하게 대응합니다.

SW 자산 및 IP 보호

클라우드 또는 외부 서버에서 SBOM 분석 서비스를 이용할 때 소프트웨어 자산과 지적재산이 서버 운영자에게 노출되지 않도록 CC-BOX TEE로 분석 전 과정을 보호합니다.

규제 분야 특화 지원

의료기기 SW(IEC 62304), 금융 시스템, 자동차 OEM(UNECE WP.29), 산업 제어 시스템(IEC 62443) 등 SBOM 의무화가 진행 중인 규제 산업 분야에 특화된 SBOM 형식과 보고서를 제공합니다.

사용자 보호

소프트웨어 사용 기업

도입 소프트웨어의 취약 컴포넌트 실시간 파악
공급망 공격에 대한 사전 대응 가능
SBOM 기반 보안 감사 및 규제 대응 자동화
내부 소프트웨어 자산 현황 투명하게 관리

제공자 보호

소프트웨어 개발·공급사

소스코드 노출 없이 SBOM 생성 및 제공
소프트웨어 구성에 대한 신뢰성 입증
고객사의 SBOM 요구사항에 안전하게 대응
지적재산 보호와 투명성 동시 달성

취약점 DB 보호

취약점 관리 서비스

취약점 데이터베이스의 기밀성 유지
SBOM-CVE 매핑 정보의 무결성 보장
제로데이 취약점 정보의 안전한 배포
감사 가능한 취약점 분석 결과 제공

의료기기 소프트웨어

FDA, IEC 62304 기준 의료기기 SW의 SBOM 의무 제출 요구사항을 소스코드 노출 없이 충족

금융 시스템

금융감독원 및 국제 금융 규제의 소프트웨어 공급망 보안 요구사항을 준수하는 SBOM 관리 체계 구축

자동차 OEM

UNECE WP.29, ISO/SAE 21434 기준 차량 SW의 사이버보안 관리를 위한 SBOM 생성 및 취약점 관리

산업 제어 시스템

IEC 62443 기준 OT/ICS 환경의 소프트웨어 컴포넌트 보안 관리를 위한 SBOM 체계 적용

클라우드 서비스

EU CRA(Cyber Resilience Act) 등 클라우드 소프트웨어에 요구되는 SBOM 공개 의무를 기밀성을 유지하며 준수

공공·국방

미국 행정명령(EO 14028) 등 정부 조달 소프트웨어에 요구되는 SBOM 제출 의무를 안전하게 이행