SBOM 생성해 공급망 보안 가이드라인 준수
[데이터넷] 스패로우(대표 장일수)는 소프트웨어 취약점 분석 도구 ‘스패로우 SAST’, ‘스패로우 DAST’, ‘스패로우 SCA’가 각 부문서 공공 조달 2년 연속 판매 1위를 달성했다고 22일 밝혔다. 스패로우는 공공 애플리케이션 보안 테스트 시장의 리더로서 한국인터넷진흥원, 국민연금공단, 한국주택금융공사 등에 제품을 공급해 왔으며, 국내 공공기관의 소프트웨어 공급망 보안 체계를 고도화하고 있다.
OSS·SW 개발 및 테스트 취약점 사전 제거
행정·공공기관은 시큐어코딩 의무화에 따라 소프트웨어 개발 단계에서 보안 약점을 제거해야 한다. 최근 로그포제이(Log4j), 매직라인(MagixLine4NX) 등 보안 취약점 악용 소프트웨어 공급망 공격이 잇따라 발생하며 오픈소스에 대한 관리와 유통 전 과정에서의 소프트웨어 안전 확보의 중요성도 높아지고 있다.
미국과 유럽연합에서는 올해부터 공공기관 ICT 제품 공급 시 소프트웨어 자재 명세(SBOM) 작성·제출을 의무화했다. 국내도 국가정보원과 과학기술정보통신부가 내달 SBOM 표준화를 비롯해 공급망 단계별 체크리스트 등 ‘ICT 공급망 보안 가이드라인’을 공개할 예정이다.
소스코드 보안 약점 분석 도구인 스패로우 SAST는 소스코드에 잠재된 보안 취약점을 진단하고 소프트웨어 개발 보안 가이드를 준수하도록 돕는다. 웹 애플리케이션 취약점 동적 분석 도구인 스패로우 DAST는 홈페이지에서 발생 가능한 취약점을 분석해 SQL 인젝션, 크로스 사이트 스크립트(XSS) 등에 대한 공격을 예방한다.
오픈소스 관리 도구 스패로우 SCA는 오픈소스 라이선스와 취약점 정보를 제공, 로그포제이와 같은 취약점 발생 즉시 해당 소프트웨어의 사용 여부를 확인해 안전한 버전으로 업데이트를 지원한다. 또한 최근 필수 보안 요건으로 떠오른 SBOM 생성 기능을 제공해 공급망 보안 가이드라인을 준수하고 소프트웨어 가시성을 확보할 수 있다.
장일수 스패로우 대표는 “개발 방식도 변화하고 공급망 환경도 복잡해져 과거 단편적인 취약점 분석으로는 한계가 있으며 설계, 개발, 테스트 및 운영 전 과정에서 활용할 수 있는 자동화된 보안 취약점 분석 도구들이 필요하다“며 “해당 부문 조달 1위의 스패로우는 공공기관을 타깃으로 하는 사이버 공격을 예방하기 위해 수요자와 공급자가 모두 만족하는 솔루션을 지속적으로 개발하고 제공하겠다”고 말했다.
