표준의 제정 에 관한 설명서

1. 일반사항

   가. 제안표준명 Software Identification (SWID) Tags 기반 안전하고 효율적인 보안취약점 관리를 위한 VEX(Vulnerability Exploitability eXchange) 활용 지침

   나. 제안목적 본 표준의 목적은 SWID 기반 SBOM과 VEX 기반 취약점 영향 정보의 활용 지침을 정의하여, 오픈소스 소프트웨어를 포함한 소프트웨어의 안전하고 효율적인 개발, 배포 및 운영을 지원하는데 있다.

   다. 추진경위 PG602 제98, 100, 101, 102회의로 관련 협의로 표준 필요성이 있어 제안

   라. 적용범위 주 : 본 표준은 오픈소스 소프트웨어를 포함한 소프트웨어의 안전하고 효율적인 개발, 배포 및 운영하는데 적용할 수 있다.
부 :

   마. 표준구현 제품
/서비스명
(회사명 및 서비스를
  구체적으로 기재) SWID 기반 소프트웨어 관리를 하는 기업에 적용 예정

   바. 정보통신표준
분류체계 Architecture분류
대분류: IT Application 및 서비스 운영   소분류: 서비스운영/QoS
ServiceDomain분류
대분류: 공통   소분류: S/W 컴포넌트/프로세스

   사. 표준도입시기 1년 이내

아. 표준활용 예상성과
(구체적으로 기재) 본 표준의 적용을 통해 다음과 같은 효과를 기대할 수 있다.
•오픈소스 구성요소 및 취약점에 대한 가시성 확보
•취약점 대응 비용 및 운영 부담 감소
•조직 간 SBOM 및 VEX 정보 교환의 상호운용성 확보
•국내 소프트웨어 공급망 보안 수준 향상

   자. 표준(안) 작성시기 (착수)20260421 ~ (완료)20261231

   차. 개정대상표준
(개정표준에 한함) 표준번호 :
제정일 :

   카. 내용요약
(개정표준의 경우 개정내용
위주로 작성) 오픈소스 소프트웨어는 현대 소프트웨어 개발과 서비스 운영의 핵심 구성요소로 자리 잡고 있으며, 공공, 민간, 산업 전반에 걸쳐 활용 범위가 지속적으로 확대되고 있다. 그러나 오픈소스 소프트웨어의 광범위한 활용은 소프트웨어 공급망의 복잡성을 증가시키고, 취약점 및 라이선스 관련 위험을 효과적으로 관리해야 할 필요성을 동시에 증대시키고 있다.
특히, 소프트웨어 구성요소에 대한 투명성 부족은 취약점 발생 시 실제 영향 범위를 신속히 파악하기 어렵게 만들며, 이는 과도한 보안 경보 또는 불필요한 대응 비용을 초래할 수 있다. 이러한 문제를 해결하기 위해 국제적으로 SBOM(Software Bill of Materials)과 VEX(Vulnerability Exploitability eXchange)가 핵심 기술로 주목받고 있다.
본 표준은 국제적으로 널리 활용되고 있는 SWID(Software Identification) Tags와 VEX를 기반으로, 국내 오픈소스 활용 환경에 적합한 표준화된 활용 지침을 제시함으로써 오픈소스 소프트웨어의 안전한 활용과 소프트웨어 공급망 보안 수준 향상에 기여하고자 한다.

   타. 제안 초안의 종류
(중복선택 가능) TTA 표준화위원회 자체 개발 표준 (위원회명: PG602)

2. 국외표준준용(인용) 여부

   가. 준용(인용)구분 순수고유표준

   나. 준용(인용)표준

- 주 준용표준
(기구명/표준번호) , 제정일:

- 부 준용표준
(복수표준준용 경우) , 제정일:

   다. 준용(인용) 내용

3. 시험인증 관련성

   가. 시험표준의 필요성 Yes No

   나. 시험표준 필요 사유
   (법적 강제성 여부 등
     구체적 기재)

   다. 시험표준 대상
   (제품/서비스명
     구체적으로 기재)

   라. 시험인증 대상 종류
(중복선택 가능) 해당사항없음

   마. 시험표준 제정 현황
(본 표준에 시험방법
내용 포함 여부 등) 시험표준 없음

4. 국가표준 추진 여부 Yes No
(*국가 표준으로의 건의는 위 의견을 참고하여 표준화위원회에서 검토 후 그 여부를
정함)

5. 기타특기사항 없음