스패로우, 오픈소스·SW 공급망 노린 공격 방어할 설루션 제공

(서울=뉴스1) 윤주영 기자 = 파수(150900) 자회사 스패로우는 국내 소프트웨어(SW) 개발사인 넷앤드, 라온시큐어(042510), 소만사, 슈프리마(236200) 등에 SW 공급망 보안을 강화하는 설루션을 공급 중이라고 14일 밝혔다. 최근 소프트웨어(SW) 공급망을 노린 공격이 증가하면서 보안취약점 및 오픈소스 관리 수요가 늘고 있어서다.

SW 공급망 공격은 개발 단계에서부터 악성코드를 삽입하거나 보안 취약점을 악용해 최종 사용자에게까지 피해를 준다. 한 번의 공격으로 연쇄적인 피해를 일으킬 수 있어 나날이 고도화되고 있다. 세계를 강타한 솔라윈즈 사태와 로그4j 취약점 사건이 대표적이다.

국내 또한 정부가 '소프트웨어 공급망 보안 가이드라인 v1.0'을 발간하는 등 개발사의 공급망 보안 활동을 권장한다. 안전한 코드 개발 환경 마련, 공개 SW 관리 관행, 소프트웨어 자재명세서(SBOM)를 활용한 SW 구성요소 검증 등이 요구된다.

스패로우 설루션은 이런 과업에 필요한 기능을 제공한다.

스패로우 SAST는 SW 보안약점 진단 가이드 등 기준을 통해 소스코드 취약점을 분석하고 해결 방안을 제시한다. 개발자들이 안전한 소스코드를 작성하는 데 참고할 수 있다. 최종 릴리즈 전에는 전수 분석으로 전체 코드를 재검증해 SW 보안성을 확보한다.

스패로우 DAST는 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 등을 반영해 웹 취약점을 검출한다. 개발사들은 스패로우 SAST로 시큐어 코딩을 적용 후 DAST로 입·출력 과정에서의 취약점을 점검·보완할 수 있다.

스패로우 SCA는 사용 중인 오픈소스를 식별해 취약점과 라이선스 정보를 제공한다. 안전한 오픈소스 버전 정보를 확인하고 업데이트하는 데 쓰인다. 또 SBOM 자동 생성도 가능하다.

장일수 스패로우 대표는 "국내외 공급망 보안 공격이 거세짐에 따라 SW 공급망 보안은 선택이 아닌 필수가 됐다"며 "개발 단계부터 보안을 고려하고 자체 개발된 코드뿐 아니라 다양한 형태의 오픈소스들을 적절히 분석·관리할 수 있어야 제품 안전성이 확보된다"고 말했다.

legomaster@news1.kr