Telco Work Group

• 1: 2025-12-04 SBOM 표준화와 최신 이슈들
• 2: 2025-11-06 CISA 셧다운의 영향과 SBOM 품질 가이드 집중 점검
• 3: 2024-12-06 SBOM 가이드라인 업데이트 논의

1 - 2025-12-04 SBOM 표준화와 최신 이슈들

source: https://openchainproject.org/news/2025/12/12/recording-openchain-telco-work-group-2025-12-04

일시: 2025년 12월 4일

참석자: Jimmy Ahlberg (Ericsson), Takashi Ninjouji (Honda), Marc-Etienne Vargenau (Nokia)

주요 의제: CycloneDX 이슈, OpenChain 운영진 변경, CISA 규제 현황, 신규 툴 소개, SPDX 3.0 전환 이슈

1. 주요 공지사항 및 운영 이슈

OpenChain General Manager 사임

OpenChain 프로젝트의 핵심 인물이었던 Shane이 General Manager직을 내려놓게 되었습니다. 그의 마지막 근무일은 12월 12일이며, 현재 후임자는 정해지지 않은 상태입니다. 프로젝트 측에서는 적합한 후보자 추천을 환영하고 있으며, 리더십 공백을 최소화하기 위해 노력하고 있습니다.

반독점(Anti-trust) 정책 준수

미팅은 언제나처럼 OpenChain의 반독점 정책 고지를 확인하며 시작되었습니다. 이는 오픈 소스 컴플라이언스 활동이 공정한 경쟁 환경을 저해하지 않도록 하기 위한 필수적인 절차입니다.

2. SBOM 표준 관련 이슈

CycloneDX v1.7과 우려 사항

최근 릴리스된 CycloneDX v1.7 표준에 대해 Ericsson의 Jimmy Ahlberg가 중요한 우려를 제기했습니다. 이번 버전부터 특허(Patents) 및 특허 패밀리(Patent Families)에 대한 지원이 공식적으로 포함되었는데, 이 필드들이 자칫 ‘특허 괴물(Patent Trolls)‘들에게 악용될 소지가 있다는 점입니다.

• 핵심 이슈: SBOM 내에 특허 정보가 명시적으로 포함될 경우, 공격적인 특허 소송을 주도하는 단체들에게 불필요한 정보를 제공하거나 타겟이 될 위험이 증가할 수 있습니다. 이는 표준 도입 시 신중하게 검토해야 할 부분으로 지적되었습니다.

3. 규제 및 정책 동향: CISA 및 BSI

CISA 최소 요소(Minimum Elements) 문서 지연

미국 사이버보안 및 인프라 보안국(CISA)의 ‘Minimum Elements’ 문서에 대한 업데이트가 지연되고 있습니다. Nokia 측에서 의견을 제출했으나 아직 공식 사이트(regulations.gov)에 반영되지 않았으며, 최종 버전의 발행 시점 또한 불투명한 상황입니다. 이는 관련 기업들의 컴플라이언스 준비에 불확실성을 더하고 있습니다.

독일 BSI의 SPDX 3.0 요구와 업계의 괴리

Honda의 Takashi Ninjouji는 독일 연방정보기술보안청(BSI)의 최신 문서가 SPDX 3.0 사용을 요구하고 있다는 점을 지적했습니다.

• 문제점: 이전 버전에서는 SPDX 2.0만 요구했으나 갑작스럽게 요건이 상향되었습니다. 하지만 Black Duck을 포함한 대부분의 상용 툴은 현재 SPDX 2.0만 지원하고 있어 현장과의 괴리가 큽니다.
• 대안: 현재로서는 spdx-tools-java와 같은 변환 도구를 사용하여 SPDX 2.0 데이터를 3.0으로 변환하는 것이 가장 현실적인 해결책으로 논의되었습니다.

4. 기술 업데이트 및 신규 도구 소개

이번 미팅에서는 실무자들에게 도움이 될 만한 구체적인 툴 업데이트 소식이 다수 공유되었습니다.

(1) Python ntia-conformance-checker 업데이트

NTIA 적합성 검사 도구가 업데이트되어 이제 CISA 문서에 대한 적합성 검사도 지원합니다.

• 기능: 라이선스 및 저작권자(Copyright Holder) 정보 포함 여부를 확인할 수 있습니다.
• 참고: 기본 설정은 여전히 NTIA 기준이므로, CISA 기준을 검사하려면 별도 옵션을 추가해야 합니다. 이 툴을 사용하는 openchain-telco-sbom-validator에는 아직 직접적인 영향이 없습니다.

(2) openchain-telco-sbom-validator 0.3.3 릴리스

Telco 가이드라인 준수 여부를 확인하는 검증기의 새 버전이 배포되었습니다.

• 수정 사항: CISA SBOM 타입 뒤에 주석(comment)이 추가될 때 발생하던 사소한 버그가 수정되었습니다.

(3) Nokia의 신규 도구: pypispdx

Nokia에서 PyPI(Python Package Index)에 등록된 패키지들을 위한 SBOM 생성 도구인 pypispdx를 공개했습니다.

• 주요 기능:
  • SPDX 2.3 포맷 지원 (tag:value, JSON, RDF, XML, YAML)
  • OpenChain Telco SBOM 가이드 준수
  • 패키지의 재귀적 의존성(Recursive dependencies) 포함
  • 패키지 다운로드 위치, 체크섬(SHA256, MD5), 라이선스 정보 자동 포함

5. 향후 계획 및 워킹 그룹 활동

Telco 가이드의 SPDX 3.0 대응

Automotive 워킹 그룹에서는 이미 Yocto 프로젝트에서 생성된 SPDX 3.0 데이터를 Telco 가이드 기준으로 검증하려는 시도가 있었습니다. 하지만 현재 검증기가 사용하는 Python 라이브러리가 SPDX 3.0을 파싱하지 못하는 한계가 있습니다.

• 대응: 관련 라이브러리의 새 유지보수자가 지명되었으므로 업데이트를 기다리는 중이며, Telco 워킹 그룹 차원에서도 가이드라인을 SPDX 3.0까지 포용할 수 있도록 개정하는 논의를 시작하기로 했습니다.

문서 개선

Jimmy Ahlberg는 암호화(Encryption) 관련 단락의 문구를 더 명확하게 개선하여 업데이트할 예정입니다.

마치며

이번 12월 미팅은 기술적 표준의 변화(SPDX 3, CycloneDX 1.7)와 규제 기관의 요구사항(CISA, BSI) 사이에서 실무적인 대응 방안을 모색하는 자리였습니다. 특히 툴링 생태계가 표준의 진화 속도를 따라가지 못하는 상황에서, pypispdx와 같은 새로운 도구의 등장은 환영할 만한 소식입니다.

OpenChain Telco Work Group은 누구나 참여할 수 있는 열린 공간입니다. 관심 있는 분들은 언제든 메일링 리스트나 GitHub을 통해 참여해 주시기 바랍니다.

• 메일링 리스트: https://lists.openchainproject.org/g/telco
• GitHub 저장소: https://github.com/OpenChain-Project/Telco-WG

by Gemini 3.0

2 - 2025-11-06 CISA 셧다운의 영향과 SBOM 품질 가이드 집중 점검

source: https://openchainproject.org/news/2025/11/11/telco-2025-11-06

일시: 2025년 11월 6일

참석자: Marc-Etienne Vargenau (Nokia, 의장), Shane Coughlan (OpenChain), Norio Koboto (Sony), Masahiro Daikoku (KDDI), Jari Koivisto (Analog Devices) 등

이번 OpenChain Telco Work Group(이하 Telco WG) 정기 미팅에서는 미국 정부 셧다운이 CISA(사이버보안 및 인프라 보안국)의 업무에 미치는 영향부터, 차기 Telco Guide 업데이트 방향, 그리고 최근 업데이트된 SBOM 품질 가이드(Quality Guide)에 대한 심도 있는 기술적 검토가 이루어졌습니다.

미팅에 직접 참여하지 못하신 분들을 위해 핵심 내용을 상세히 요약해 드립니다.

1. CISA 동향: 정부 셧다운과 인력 공백

이번 미팅의 서두는 현재 미국 정부의 셧다운 사태가 공급망 보안 규제 기관인 CISA에 미치는 영향에 대한 논의로 시작되었습니다.

주요 업데이트

• 업무 마비: 현재 셧다운으로 인해 CISA 직원의 약 2/3가 사무실에 출근하지 못하고 있는 상황입니다.
• 핵심 인력 부재: SBOM 확산을 주도했던 Allan Friedman이 CISA를 떠났으며, 그의 후임자 역시 셧다운 영향으로 업무를 시작하지 못한 상태라 리더십 공백이 발생했습니다.
• 의견 수렴 지연: OpenChain WG와 Nokia 등 여러 기업이 CISA의 ‘Minimum Elements(최소 요소)’ 문서에 대한 의견(Comments)을 제출했으나, 셧다운으로 인해 처리가 지연되고 있습니다. 특히 마감 직전에 제출된 Nokia의 코멘트는 시스템에 반영조차 되지 않은 상태입니다.

쟁점: SBOM에 ‘라이선스 정보’가 필요한가?

CISA 문서에 대한 업계의 피드백은 엇갈리고 있습니다.

• 찬성 측: 라이선스 정보도 투명성 확보 차원에서 포함되어야 한다.
• 반대 측: 라이선스는 ‘보안(Security)‘과 직접적인 관련이 없으므로 보안 중심 문서인 SBOM 필수 요소에서 제외해야 한다.

Telco WG의 대응 방향:

현재 Telco Guide v1.0 및 1.1에서는 라이선스 정보가 필수지만, 값을 NOASSERTION(정보 없음)으로 표기하는 것을 허용하고 있습니다.

하지만 Draft v1.2에서는 NOASSERTION을 허용하지 않고 실제 라이선스 정보를 기입하도록 강화할 예정이었습니다. WG는 CISA가 최종적으로 라이선스 정보를 필수 요소로 확정할지 여부를 지켜본 후, 이 방침을 유지할지 결정하기로 했습니다.

2. Telco Guide 및 Validator(검증기) 업데이트

암호화(Encryption) 챕터 추가 건

Ericsson의 Jimmy Ahlberg가 제안했던 ‘암호화 관련 챕터’ 추가는 문구 수정이 더 필요한 상황입니다. 제안자가 현재 아시아 출장 및 한국 행사 참석 일정으로 인해 수정안을 제출하지 못해, 다음 미팅에서 다시 논의하기로 했습니다.

Validator(검증 도구) 이슈

• 버그 수정: CISA SBOM Type을 처리하는 과정에서 발견된 사소한 버그가 수정되어 곧 마이너 릴리스가 배포될 예정입니다.
• SPDX 3.0 지원의 어려움: 지난 10월 미팅에서 Telco Validator가 SPDX 3.0 스펙을 지원해야 한다는 제안이 있었습니다. 하지만 현재 Validator가 의존하고 있는 파이썬 라이브러리(tools-python)가 SPDX 3.0을 지원하지 않아 구현이 어렵습니다.
  • 해당 라이브러리는 1년 넘게 업데이트가 없었으나, 최근 새로운 메인테이너가 지명되어 향후 업데이트를 기대해볼 수 있는 상황입니다.

3. 심층 분석: SBOM 품질 가이드(Quality Guide) 검토

미팅의 대부분은 현재 작성 중인 SBOM Quality Guide 문서를 검토하는 데 할애되었습니다.

(1) BSI(독일 연방정보보안청)의 급진적인 SPDX 3.0 도입

독일 BSI의 최신 가이드라인(TR-03183-2 v2.1.0) 내용이 공유되었는데, 이 내용이 상당히 파격적이라 우려의 목소리가 나왔습니다.

• 내용: BSI는 SBOM 포맷으로 SPDX 3.0.1 이상 또는 CycloneDX 1.6 이상을 의무화(Mandate)하고, SPDX 2.x 버전 사용을 사실상 배제했습니다.
• WG의 우려: 이는 시기상조(Premature)라는 의견이 지배적입니다. 현재 BlackDuck을 포함한 대다수의 상용 SCA 도구들이 여전히 SPDX 2.2나 2.3만 지원하고 있으며, SPDX 3.0을 완벽히 지원하는 도구는 거의 없기 때문입니다.

(2) 용어의 명확화: “Build Information”

가이드 문서의 섹션 3.5인 “SBOM Build information"이라는 용어가 혼란을 줄 수 있다는 지적이 있었습니다.

• 문제점: 독자들이 이를 ‘소프트웨어를 빌드하는 시점의 정보’로 오해할 수 있음.
• 수정 제안: “SBOM Document Build Information"으로 명칭을 변경하여, 이것이 소프트웨어 자체가 아니라 SBOM 문서가 생성된 시점과 도구에 대한 정보임을 명확히 하기로 했습니다.

(3) 패키지 식별자 (Package Identifier)

문서에서는 SWHID, PURL, CPE 등 다양한 식별자를 나열하고 있습니다.

• Telco WG의 권장: Telco Guide는 PURL (Package URL) 사용을 권장합니다.
• 표준화 현황: PURL은 곧 ECMA 표준이 될 예정이며, 이후 패스트트랙을 통해 ISO 표준으로 제정될 것으로 예상됩니다. Shane Coughlan(OpenChain)은 ECMA 표준 제정 후 ISO화 되기까지 약 9개월 정도가 소요될 것으로 전망했습니다.

(4) ‘알려진 미지(Known Unknowns)‘의 표현

공급망 내에서 일부 종속성 정보가 누락되었음을 인지하고 있지만, 그 내용이 무엇인지 모르는 경우(Known Unknowns)를 SPDX로 표현하는 것이 기술적으로 까다롭다는 논의가 있었습니다.

• 현업에서는 종종 공급업체가 하위 모듈에 대한 조사를 하지 않아 정보를 제공하지 않으면서, 단순히 “모른다"고만 표기하는 경우가 많습니다. 이를 데이터 필드에 어떻게 정확히 매핑할지가 과제로 남아 있습니다.

4. 향후 일정 및 참여 안내

문서 검토 요청

이번에 논의된 문서들은 오는 12월 일본에서 열리는 Open Compliance Summit에서 발표될 예정입니다. 따라서 WG 멤버들은 그전까지 문서에 대한 코멘트를 적극적으로 제출해 줄 것을 요청받았습니다.

참여 방법

OpenChain Telco WG는 모든 이에게 열려 있습니다. 관심 있는 분들은 아래 채널을 통해 참여하실 수 있습니다.

• 메일링 리스트: https://lists.openchainproject.org/g/telco
• GitHub 저장소: https://github.com/OpenChain-Project/Telco-WG

by Gemini 3.0

3 - 2024-12-06 SBOM 가이드라인 업데이트 논의

source: https://openchainproject.org/news/2024/12/12/telco-work-group-2024-12-06

목차

1. 인도의 SBOM 기술 가이드라인 검토
2. OpenChain Telco SBOM 가이드 개선 방안
3. SBOM 도구 관련 업데이트

1. 웨비나 개요

발표자 소개

이번 웨비나는 OpenChain Telco Work Group의 정기 미팅으로, Nokia의 오픈소스 전문가가 진행을 맡았습니다.

웨비나 목적

SBOM 관련 최신 기술 가이드라인을 검토하고 OpenChain Telco SBOM 가이드의 개선 방안을 논의하기 위해 개최되었습니다.

2. 인도의 SBOM 기술 가이드라인 검토

가이드라인 개요

Indian Computer Emergency Response Team (CERT-In)에서 2023년 10월에 발표한 SBOM 기술 가이드라인에 대해 논의했습니다. 이 가이드라인은 주로 공공 부문의 보안 관점에 초점을 맞추고 있습니다.

주요 특징

• 21개의 필수 요소를 정의하고 있으며, 이는 NTIA 최소 요구사항보다 더 많은 항목을 포함
• End-of-life date와 같은 현실적으로 구현이 어려운 필드들이 포함
• 공공 부문과 필수 서비스 영역을 주요 대상으로 함
• 강제성은 없으나 SBOM 생성과 제공을 권장

(참고) 인도 정부 발간 SBOM 가이드라인 한국어 번역

• 인도 SBOM 가이드라인

3. OpenChain Telco SBOM 가이드 개선 방안

버전 1.1 업데이트 제안사항

• Component Hash 제공 방식 유연화
  • Package Checksum 외에도 Package Verification Code 허용
  • CISA의 Common SBOM Requirements와 일관성 유지

필수 필드 완화

• File Analyzed 필드를 필수에서 제외
• Package License (concluded/declared) 관련 SPDX 2.2와 2.3 버전 차이 반영
• External Ref 필드와 PURL 관련 요구사항 조정

도구 관련 업데이트

• SBOM 병합 도구로 Interlink의 ASML을 추천
• SPDX 유효성 검증 개선 사항 반영

4. 향후 계획

• 버전 1.1 초안에 대한 커뮤니티 피드백 수집
• 보안 정보의 SBOM 포함 여부에 대한 추가 논의 필요
• 일본 SBOM 그룹과의 협력 강화

요약 보고서

기업 오픈소스 관리자를 위한 시사점

1. SBOM 표준화가 전 세계적으로 진행 중이며, 특히 공공 부문을 중심으로 확산
2. 필수 요소에 대한 국가별/산업별 요구사항이 상이하므로 유연한 대응 필요
3. SBOM 도구 생태계가 지속적으로 발전 중이며, 도구 선택 시 표준 준수성 고려 필요

주요 Action Items

1. SBOM 생성 시 Component Hash 제공 방식 검토 및 개선
2. SPDX 2.2/2.3 버전 차이를 고려한 라이선스 정보 관리 체계 수립
3. SBOM 병합 도구 평가 및 도입 검토
4. 보안 정보 관리 방안 수립 (SBOM 포함 여부 결정)
5. 국가별 SBOM 가이드라인 모니터링 및 대응 체계 구축