의료기기 소프트웨어에 적합한 SBOM 포맷은 왜 SPDX를 권장하는가

의료기기 분야에서 소프트웨어 구성 요소의 투명성과 신뢰성은 환자의 안전과 직결됩니다. 이에 따라 최근 국내외 규제 기관은 소프트웨어 구성명세서, 즉 SBOM(Software Bill of Materials)의 제출을 요구하고 있으며, 그 형식에 대해서도 기준이 마련되고 있습니다. 대표적으로 미국 FDA와 NTIA에서는 SPDX, CycloneDX, SWID를 승인 가능한 SBOM 포맷으로 명시하고 있습니다. 그러나 모든 포맷이 동일한 수준의 정보를 제공하는 것은 아니며, 의료기기라는 특수한 맥락에서는 보다 정교한 접근이 필요합니다.

그 중에서도 SPDX(Software Package Data Exchange)는 국제 표준(ISO/IEC 5962)으로 공인된 유일한 SBOM 형식으로, 의료기기 소프트웨어에 가장 적합하다고 판단됩니다. SPDX는 소프트웨어의 구성 요소는 물론 각 요소의 출처, 라이선스, 저작권 정보까지 명확히 기술할 수 있어, 규제 보고 및 오픈소스 라이선스 준수 측면에서 탁월한 장점을 가집니다. 특히 라이선스 및 저작권 관련 데이터는 제조사의 법무·품질 부서와의 협업에 있어 중요한 근거자료가 됩니다.

반면 CycloneDX는 보다 간결한 포맷으로, 자동화된 빌드 환경과의 통합에 적합하며, 취약점 관리에 특화된 구조를 갖추고 있습니다. 실제로 일부 조직은 SPDX와 CycloneDX를 동시에 활용하여, 규제 대응과 보안 관리를 병행하는 전략을 채택하고 있습니다.

한편, SWID는 특정 소프트웨어 설치 단위의 식별 정보를 담는 데 중점을 둔 포맷으로, SBOM 본래의 목적을 충분히 충족하기 어렵습니다. 의료기기 제품의 보안성과 규제 적합성을 확보하기 위해서는, 개별 제품 수준이 아닌 구성 요소 단위의 상세한 정보가 필요하므로, SWID는 단독 포맷으로 사용하기에는 한계가 명확합니다.

결론적으로, 의료기기 산업에서는 SPDX를 기본 SBOM 포맷으로 채택하는 것이 바람직합니다. 이는 규제기관의 요구에 부합할 뿐 아니라, 향후 제품 수출이나 감사 대응 시에도 안정적인 문서로 기능할 수 있기 때문입니다. 다만 보안 관점에서의 민첩성을 고려해야 하는 경우라면, CycloneDX와의 병행 사용도 고려할 수 있습니다. SBOM은 단순한 문서가 아닌, 제품의 신뢰성을 입증하는 핵심 도구입니다. 선택의 기준은 결국, 의료기기라는 고위험 제품군에 요구되는 '정확성'과 '책임성'에 있습니다.