요즘 보안 트렌드에서 빠지지 않는 키워드 중 하나가 공급망 보안이다.특히 오픈소스와 외부 라이브러리에 의존하는 구조가 당연해지면서, “우리 코드가 안전한가”보다 “우리 코드가 끌어오는 구성요소가 안전한가”가 더 중요해지는 상황을 자주 마주한다.이 흐름 속에서 SBOM(Software Bill of Materials) 이야기가 계속 나오는 이유도 여기에 있다고 본다.취약점은 ‘우리 시스템’이 아니라 ‘우리 의존성’에서 터질 때가 많다개발을 직접 하지 않아도,프레임워크패키지 매니저이미지 베이스(컨테이너)CI/CD 플러그인같은 요소가 침해 경로가 될 수 있다.문제는 이런 요소들이 많아질수록 “내가 무엇을 쓰고 있는지”조차 모르는 상태가 되기 쉽다는 점이다.그래서 구성요소 목록 자체가 보안 통제의 출발점이 된다..