With the recent experience of COVID-19, the world has witnessed a deepening of connectivity through the internet and an increased reliance on digital systems, leading to an increased importance of cyber security. However, the software that supports the digital infrastructure is mostly developed as a composition of open-source components and third-party libraries, which has made supply chains more intricate and increased the vulnerability of the supply chain to cyber attacks. In particular, software supply chain attacks that hacked SolarWinds and Microsoft servers have inflicted significant damage on over 18,000 administrative organizations and businesses, including the U.S. Department of Defense.
As a result, Software Bill of Materials (SBOM), which represents the information and relationships among the components that make up software, has emerged as a crucial means to enhance supply chain security. In May 2021, the United States mandated that suppliers submit SBOMs for software being adopted by government agencies through Executive Order 14028, and they are actively expanding the foundation for SBOM utilization. While the Korean government began research on SBOM and its related technologies and policies in October 2022, it is lagging behind compared to other major countries like the United States.
Meanwhile, for SBOM to effectively mitigate vulnerabilities in the software supply chain, it is crucial to expand the adoption of SBOM not only in the public sector but also in the private sector. Moreover, for the government and private enterprises to institutionalize the adoption of SBOM, it is important to identify in advance the factors that influence the adoption intentions of the entities involved in creating and utilizing SBOM and incorporate them into policies to facilitate the rapid expansion of SBOM utilization. However, most previous studies have only focused on introducing the concept and tools of SBOM and discussing the need for its adoption.
Accordingly, this study explored factors that affect the intention to adopt SBOM for cybersecurity of IT professionals in private companies and public institutions, verified structural relations, and presented policy implications to spread the adoption of SBOM.
Through literature review, variables such as SBOM factors, organizational factors, environmental factors, and information security technology factors were explored. Based on the TOE framework, UTAUT, Planned Behavior Theory, and Protection Motivation Theory, research model that categorizes SBOM attributes into information technology and information security technology were designed. Empirical analysis were conducted by using data collected through online surveys from 450 IT professionals in private companies and public institutions.
The results of the analysis showed that out of the 18 hypotheses, excluding moderation effects, 14 were accepted and 4 were rejected. Firstly, in terms of the information technology attributes of SBOM, software transparency and license management, relative advantage, and top management support, excluding security management, had a significant positive impact on performance expectations. In terms of effort expectations, software transparency, security management, relative advantage, and top management support, excluding license management, had a significant positive impact. Subjective norms and mediating variables such as performance expectations and effort expectations had a significant positive impact on adoption intentions, while institutional support did not have a significant impact. Meanwhile, in terms of the information security technology attributes of SBOM, subjective norms (redundancy), perceived security threats, self-efficacy, and information security attitudes had a significant positive impact on adoption intentions, while coping effectiveness did not have a significant impact. The organizational form of the respondents did not have a significant moderating effect, while the experience of being a victim of hacking showed a significant moderating effect on self-efficacy.
This paper holds significance as it is the first empirical study to clarify the factors that affect the intention of IT professionals in private companies and public institutions to adopt SBOM in South Korea, where the policy for the adoption of SBOM is still in the preparation stage. Moreover, this study carries academic importance in proposing a novel research methodology that designs a research model by considering the attributes of information technology and information security technology inherent in SBOM, and empirically integrates the factors influencing adoption intention. On the other hand, practical implications derived from this study, such as the needs of improving usability of SBOM, promoting private sector-driven policy implementation, and the necessity of disclosing the risks of supply chain attacks, are expected to be used by governments or private companies in establishing and implementing SBOM adoption policies.
This study is expected to contribute to the rapid expansion of the adoption and use of SBOM throughout the society, which is essential for strengthening Korea’s cyber security, serving as an opportunity to trigger various empirical studies on SBOM in the future.

최근 코로나19를 거치면서 전 세계는 인터넷을 통한 연결성과 디지털 의존성이 심화됨에 따라 사이버보안의 중요성이 더욱 커지고 있다. 그러나 디지털 기반을 지탱하는 소프트웨어는 대부분 오픈소스나 제3자 라이브러리들이 혼합된 컴포넌트 형태로 개발되면서 공급망이 복잡해지고, 사이버공격에 취약한 공급망 면적도 함께 증가하고 있다. 특히 솔라윈즈와 마이크로소프트 서버를 해킹한 소프트웨어 공급망 공격은 미국 국방부를 비롯한 18,000곳 이상의 행정기관과 기업에 막대한 피해를 안겼다.
이를 계기로, 소프트웨어를 구성하는 요소들의 정보와 상호관계를 나타내는 소프트웨어 자재명세서(SBOM)가 공급망 보안을 강화하는 데 필요한 핵심 수단으로 부상하였다. 미국은 2021년 5월 행정명령(EO 14028)을 통해 정부 기관에 도입하는 소프트웨어에 대해 공급업체가 SBOM을 제출하도록 의무화하고, SBOM의 활용 기반을 확충해 나가고 있다. 한국 정부도 2022년 10월부터 본격적으로 SBOM의 기술 및 정책과 관련한 연구에 들어갔으나 미국 등 주요국에 비해 뒤늦은 상황이다.
한편, SBOM이 소프트웨어의 공급망 보안을 강화하는 데 효과를 발휘하기 위해서는 공공부문뿐 아니라 민간 부문에 SBOM의 도입을 확대하는 것이 무엇보다 중요하다. 또한 정부나 민간기업이 SBOM의 도입을 제도화하기 위해서는 SBOM을 생성·활용하는 주체들의 도입의도에 영향을 미치는 요인을 사전 파악하여 정책에 반영하는 것이 SBOM의 조속한 활용 확대를 위해 중요하다. 그러나 선행연구는 대부분 SBOM의 개념과 도구 소개, 도입 필요성 등에 머물러 있다.
이에, 본 연구에서는 민간기업과 공공기관의 IT 업무 담당자들의 사이버보안을 위한 SBOM의 도입의도에 영향을 미치는 요인들을 탐색하고 구조적 관계를 검증하여 도입 확산을 위한 정책적 시사점을 제시하였다.
문헌 연구를 통해 SBOM 요인, 조직적 요인, 환경적 요인, 정보보안기술 요인 등 변인을 탐색하고, TOE 프레임워크와 통합기술수용모델(UTAUT), 계획된 행동이론, 보호동기이론을 토대로 SBOM의 속성을 정보기술과 정보보안기술로 구분하여 연구모형을 설계하였다. 민간기업과 공공기관의 IT 업무 담당자를 대상으로 온라인 설문조사를 통해 수집된 450부 모두를 표본 데이터로 활용하여 실증분석을 진행하였다.
검증한 결과, 조절 효과를 제외한 18개의 가설 중에서 14개가 채택되고 4개가 기각되었다. 먼저, SBOM의 정보기술 속성에서는 보안 관리를 제외한 소프트웨어 투명성과 라이선스 관리, 상대적인 이점, 경영층 지원이 성과기대에 긍정의 유의한 영향을 미쳤다. 노력기대에는 라이선스 관리를 제외하고 소프트웨어 투명성, 보안 관리, 상대적 이점, 경영층 지원이 노력기대에 긍정의 유의한 영향을 미쳤다. 주관적 규범 그리고 매개변수인 성과기대와 노력기대는 종속변수인 도입의도에 긍정의 유의한 영향을 미치지만, 제도적 지원은 도입의도에 유의한 영향을 미치지 못하였다. 한편, SBOM의 정보보안기술 속성에서는 주관적 규범(중복), 지각된 보안위협, 자기 효능감, 정보보안 태도가 도입의도에 긍정의 유의한 영향을 미쳤다. 그러나 대처 효능감은 유의한 영향을 미치지 못하였다. 응답자 소속 조직의 형태별로는 유의한 조절 효과가 없는 반면, 해킹 피해의 경험 유무에서는 자기 효능감이 유의한 조절 효과를 나타냈다.
본 논문은 현재 SBOM 도입이 정책 준비 단계에 머물러 있는 한국의 상황에서, SBOM을 도입하고 활용할 민간기업과 공공기관의 IT 담당 조직원들의 도입의도에 영향을 미치는 요인을 실증적으로 최초로 규명하였다는 데 의미가 있다. 또한 SBOM에 내재한 정보기술과 정보보안기술의 속성을 고려하여 연구모형을 설계하고, 도입의도에 대한 영향 요인을 통합하여 실증하는 새로운 연구 방법을 제시하였다는 점에서 학술적인 의의가 있다. 한편, 본 연구 결과로부터 도출된 SBOM의 사용 편의성 제고, 민간 중심의 정책추진 및 공급망 공격의 위험 실태 공개의 필요성 등 실무적 시사점은 정부나 민간기업이 SBOM의 도입정책을 수립하고 시행하는 데 활용될 수 있을 것이다.
본 연구가 한국의 사이버보안 강화에 긴요한 SBOM의 도입과 활용이 사회 전반으로 조속히 확대되는 데 보탬이 되고, 향후 SBOM에 대한 다양한 실증적 연구를 촉발하는 계기가 되기를 기대한다.

• 제 1 장 서론 1
• 1.1 연구의 필요성과 목적 1
• 1.2 연구의 내용과 방법 5
• 1.3 기대효과 6
• 1.4 논문의 구성 7
• 제 2 장 이론적 배경 8
• 2.1 사이버보안의 개념 및 위협유형 8
• 2.1.1 사이버보안의 개념 8
• 2.1.2 사이버보안의 위협 유형과 특징 12
• 2.2 소프트웨어 공급망 보안의 개념 및 위협특징 15
• 2.2.1 소프트웨어 공급망의 개념과 특징 16
• 2.2.2 소프트웨어 공급망 공격의 지점과 유형 18
• 2.2.3 소프트웨어 공급망 보안의 주요 위협사례와 특징 21
• 2.3 소프트웨어 자재명세서(SBOM)에 관한 이론 고찰 25
• 2.3.1 SBOM 정의와 등장 배경 26
• 2.3.2 SBOM 구성과 개념 28
• 2.3.3 SBOM 주요 역할과 이점 30
• 2.3.4 SBOM 표준 동향 및 생성관리 도구 31
• 2.3.5 미국의 SBOM 활용 동향 35
• 2.3.6 유럽의 SBOM 활용 동향 40
• 2.3.7 일본과 중국의 SBOM 활용 동향 42
• 2.3.8 국내 SBOM 활용 동향 45
• 2.3.9 SBOM의 특성 요인 도출 46
• 2.4 기술수용 모델에 관한 이론 고찰 51
• 2.4.1 기술․조직․환경 프레임워크(TOE Framework)의 개념 52
• 2.4.2 기술․조직․환경(TOE) 프레임워크 관련연구 55
• 2.4.3 통합기술수용모형(UTAUT) 57
• 2.4.4 TOE 및 UTAUT 통합연구 사례 62
• 2.5 정보보안기술수용 모델에 관한 이론 고찰 64
• 2.5.1 계획된 행동이론(TPB) 65
• 2.5.2 보호동기이론(PMT) 67
• 2.5.3 TPB 및 PMT 통합연구 사례 71
• 제 3 장 연구모형 및 가설 74
• 3.1 연구모형 74
• 3.2 연구가설 77
• 3.2.1 TOE의 SBOM 요인 변수와 매개변수와의 관계 77
• 3.2.2 TOE의 조직요인 변수와 매개변수와의 관계 79
• 3.2.3 TOE의 환경요인 변수와 종속변수와의 관계 81
• 3.2.4 주관적 규범 변수와 종속변수와의 관계 83
• 3.2.5 지각된 보안위협 변수와 종속변수와의 관계 84
• 3.2.6 대처 효능감 변수와 종속변수와의 관계 86
• 3.2.7 자기 효능감 변수와 종속변수와의 관계 87
• 3.2.8 정보보안 태도 변수와 종속변수와의 관계 88
• 3.2.9 매개변수(성과기대 및 노력기대)와 종속변수와의 관계 89
• 3.2.10 조절변수 91
• 3.3 변수의 조작적 정의 및 측정항목 94
• 3.3.1 변수의 조작적 정의 94
• 3.3.2 변수의 측정항목 95
• 제 4 장 실증분석 100
• 4.1 자료수집 및 분석방법 100
• 4.2 인구통계학적 분석 101
• 4.3 자료의 정규성 검정 103
• 4.4 구조방정식 분석 106
• 4.4.1 외부모형의 신뢰도 평가 107
• 4.4.2 외부모형의 타당도 평가 110
• 4.5 연구가설 검증 116
• 4.5.1 내부모형의 설명력 평가 116
• 4.5.2 모형 적합도 평가 117
• 4.5.3 경로분석 117
• 4.5.4 가설검증 결과 및 해석 120
• 4.6 조절효과 분석 125
• 4.6.1 조직 형태(민간기업/공공기관)에 따른 조절효과 분석 126
• 4.6.2 해킹피해 경험 여부에 따른 조절효과 분석 127
• 제 5 장 결 론 130
• 5.1 연구 결과의 요약 130
• 5.2 연구의 시사점 131
• 5.2.1 학술적 시사점 131
• 5.2.2 실무적 시사점 133
• 5.3 연구의 한계 및 향후 연구방향 137
• 참고문헌 140
• 부 록 169

1. 공급망 보안, 이만희, 특집호 발간에 즈음하여. 정보보호학회지, 32(5), pp. 4-5, , 2022

2. 국가 사이버안보 마스터플랜., 관계부처 합동, 국가 사이버안보 마스터플랜, , 2011

3. 컴퓨터 역사상 최악 취약점 발견, 정래원, 전명훈, 전세계 보 안업계 화들짝(종합). 연합뉴스. https://www.yna.co.kr/view/AKR20211211035951009, , 2021

4. 사이버안보 국제규범에 관한 연구, 배영자, 21세기정치학회보, 27(1), pp. 105-128, , 2017

5. 허준의 쉽게 따라하는 AMOS 구조방정식 모형, 허준, 서울: 한 나래아카데미, , 2013

6. 기술보고서 : 공급망 공격 사례 분석 및 대응 방안., 한국인터넷진흥원, 기술보고서 : 공급망 공격 사례 분석 및 대응 방안, , 2019

7. 북한발 ‘SW 공급망 공격’ 부각…SBOM 시범 사업 추 진, 김혜경, 아이뉴스24. https://www.inews24.com/view/1592685, , 2023

8. 과기정통부, ‘제로트러스트 공급망 보안’ 포럼 발족, 황정민, ZDNET korea. https://zdnet.co.kr/view/?no=20221026161607, , 2022

9. 美뒤흔든 ‘솔라윈즈’ 해킹, 10개월간 못 찾은 이유는?, 김윤희, ZDNET Korea. https://zdnet.co.kr/view/?no=20210122194956, , 2021

10. .Apache Log4j 보안 취약점 대응방안 안 내. 국내외보안동향, 이스트시큐리티 ESRC, EST security. https://blog.alyac.co.kr/4341, , 2021

11. 고려대 SW보안연구소, 공급망 보안 위한 SBOM 기술개 발 추진, 박광하, 정보통신신문(2022.6.9.). https://www.koit.co.kr/news/articleView.html?idxno=98260, , 2022

12. 국방상호운용성 지원시스템의 성공요인에 관한 실증적 연구, 유영민, 신용태, 백한종, 최규옥, 한국IT정책경영학회 논문지, 11(4), pp. 1279-1285, , 2019

13. 힐. 카세야 랜섬웨어 공격, ‘뜨거웠던 7월’의 타임라인 정리, 마이클, Itworld. https://www.itworld.co.kr/news/203844#csidx097a845f444ce5787f 58af512a09ca6, , 2021

14. 보안 패러다임 혁신 도모, 제로트러스트 공급망보안 포럼 발족, 황국상, 머니투데이(2022.10.26.). https://news.mt.co.kr/mtview.php?no=2022102610224369858, , 2022

15. 사이버보안 특집 : 사이버보안이란 개념 사용의 유용성 및 한계, 정필운, 연세 의료 과학기술과 법, 2(2), pp. 1-25, , 2011

16. 옴니채널쇼핑 도입의도와 기대효과에 관한 연구. 박사학 위논문, 김병철, 단국대학교 대학원, , 2015

17. 주요국 사이버안보 전략과 한국에의 시사점. 국가안보전략연구원, 채재병, 김일기, INSS전략보고, 73, , 2020

18. 컴퓨터 역사상 최악 취약점 발견 보도에 국정원 선제 적 조치 취해, 서재준, 뉴스1. https://m.news1.kr/articles/?4520264?view=m, , 2021

19. 개인의 대처 유형과 조직문화가 조직원의 정보보안에 미 치는 영향, 황인호, 한국산업정보학회논문지, 26(2), pp. 27-41, , 2021

20. 전세계 뒤흔든 ‘로그4j’ 보안위협.. 잠재적 우려 여전하다 [IT돋보기], 김혜경, 아이뉴스24. https://www.inews24.com/view/1448812, , 2022

21. 정보보호 투자 의도에 영향을 미치는 요인에 대한 연구, 박사학위논문, 이홍제, 숭실대학교 대학원, , 2018

22. 넷사랑컴퓨터 소프트웨어 해킹, ‘셰도우패드’라는 백도어 로 드러나, 오다인, 보안뉴스. https://www.boannews.com/media/view.asp?idx=56381, , 2017

23. 스마트 공장 수용 요인과 성과 분석을 위한 실증적 연구. 박사학위논문, 길형철, 한성대학교 대학원, , 2019

24. IT 전문 인력의 커리어 가치관: 이직 (移職)의도의 Q 방법 분석. 주관성 연구, 김한별, 이혜정, 이정우, 통권 제28호, pp. 93-114, , 2014

25. 블록체인 기술 수용의도에 영향을 미치는 요인에 관한 연구. 박사학위논문, 김정석, 숭실대학교 대학원, , 2017

26. 양자암호통신 도입의도에 영향을 미치는 요인에 관한 연 구, 박사학위논문, 전대호, 숭실대학교 대학원, , 2022

27. 미국 SBOM(Software Bill of Materials) 정책 분석 및 시사점. ISSUE REPORT, 2022.12.16, IS-144, 김항규, 소프트웨어정책연 구소, , 2022

28. 조직에서의 빅데이터 시스템 도입을 위한 결정요인에 대 한 연구. 박사학위논문, 이선우, 성균관대학교 대학원, , 2016

29. 멀티클라우드 컴퓨팅 사용의도에 영향을 미치는 요인에 대한 연구, 박사학위논문, 정현석, 숭실대학교 대학원, , 2019

30. 하이브리드 클라우드 도입의도에 영향을 미치는 요인에 관한 연구. 박사학위논문, 권태현, 숭실대학교 대학원, , 2020

31. 주요국 SBOM(Software Bill of Materials)정책 동량 분 석 및 시사점. ISSUE REPORT, 2022.12.22, IS-150, 김항규, 소프트웨어 정책연구소, , 2022

32. 온라인 고객설문시스템의 도입의도에 영향을 미치는 요 인에 관한 연구. 박사학위논문, 권혁상, 숭실대학교 대학원, , 2017

33. 사이버위협 정보공유 시스템 확산에 영향을 미치는 핵심 요인에 관한 연구. 박사학위논문, 윤오준, 숭실대학교 대학원, , 2017

34. 데이터 협업기반 스마트시티 플랫폼 도입에 영향을 미치 는 요인에 관한 연구. 박사학위논문, 김산회, 숭실대학교 대학원, , 2019

35. 서재이, & 최정일. 디지털콘텐츠 OTT서비스의 지속사용 의도에 영향을 미치는 주요 요인에 관한 연구, 안선주, 품질경영학회지, 50(1), pp. 105-124, , 2022

36. 클라우드 클라우드 컴퓨팅서비스 사용의도에 영향을 미치 는 요인-금융권을 중심으로-. 박사학위논문, 윤경, 단국대학교 대학원, , 2015

37. 국방 스마트워크 사용의도에 영향을 미치는 요인에 관한 연구 모바일오피스를 중심으로. 박사학위논문, 김진태, 숭실대학교 대학원, , 2018

38. 석유화학기업 IT서비스의 클라우드 서비스 전환의도에 영 향을 미치는 요인에 관한 연구. 박사학위논문, 이상신, 숭실대학교 대학원, , 2021

39. 세계법제정보센터, & 한국법령정보원. 사이버안보법제 고찰. https://world.moleg.go.kr/web/wli/rsrchReprtReadPage.do?, 법제처, A=A &searchType=all&searchPageRowCnt=10&searchNtnlCls=4&sea rchNtnl=DE&CTS_SEQ=47857&AST_SEQ=70, , 2018

40. 빅데이터 기반 지능형 통합 산불 재난방지 플랫폼 구축 에 영향을 미치는 요인에 관한 연구. 박사학위논문, 홍수희, 숭실대학교 대학원, , 2021

41. 농업인 맞춤 지원을 위한 농업 마이데이터 서비스의 수 용의도에 영향을 미치는 요인에 관한 연구. 박사학위논문, 이원석, 숭실 대학교 대학원, , 2021

42. 러시아-우크라이나 전쟁에서 의 사이버공격 사례 분석을 통한 한국의 대응 방안에 관한 연 구. 정보처리학회논문지, 윤준희, 이형동, 이덕규, 신용태, 컴퓨터 및 통신시스템, 11(10), pp. 353-362, , 2022

43. 정보보안 수준향상에 영향을 미치는 요인에 관한 연구 –정보보안간리실태평가 대상기관을 중심으로-. 박사학위논문, 지윤석, 숭실대학교 대학원, , 2020

44. 양한나, 왕고봉, & 신창훈. 벌크터미널 서비스품질 분석 및 이용주체별 차이에 관한 연구: 부산항 벌크터미널을 중심으 로, 이경남, 한국항해항만학회지, 40(4), pp. 223-230, , 2016

45. 중소기업의 클라우드컴퓨팅 도입의도 결정요인에 관한 연구 – Software-as-a-Service에 대한 계획행동이론 관점 -. 박사학위논문, 김성현, 성균관대학교 대학원, , 2012

46. 웨이난, & 조성균. 보호동기이론(PMT)과 계획된 행동이론 (TPB)을 적용한 COVID-19 상황에서 태권도장 학부모의 행동 의도에 관한 연구, 저우, 국기원태권도연구, 13-2, pp. 75-88, , 2022

47. 통합기술수용이론(UTAUT)을 기반으로 간편결제 서비스 수용 의도와 이용에 관한 연구 : 혁신저항의 조절효과를 중심으 로. 박사학위논문, 강선희, 부경대학교 대학원, , 2016