국제 표준 규격 SBOM 자동 생성 및 반입 통제 포털 연동해 컴플라이언스 대응
[보안뉴스 조재호 기자] 스패로우가 애플리케이션 보안 테스팅 통합 솔루션 ‘Sparrow Enterprise v1.0’을 조달청 디지털서비스몰에 공식 등록하고 공공기관 소프트웨어(SW) 공급망 보안 체계 구축 지원을 본격화한다고 13일 밝혔다.

최근 오픈소스와 AI 생성 코드를 활용한 개발 방식이 보편화되면서 이를 노린 취약점 공급망 공격이 급증하는 추세다. 관련 업계 전망에 따르면 SW 공급망 공격으로 인한 글로벌 피해액은 2023년 460억달러(69.3조원) 2031년 1380억달러(207.9조원)로 3배가량 폭증할 것으로 예측된다. 이에 정부는 지난달 ‘SW 공급망 보안 강화 로드맵’을 발표하며 시큐어코딩 등 안전한 SW 개발 방법론 준수와 공공분야 소프트웨어 자재명세서(SBOM) 관리 및 공급망 위험 실시간 모니터링을 핵심 과제로 강조했다.
‘Sparrow Enterprise’는 소스코드 보안약점 및 품질 결함 분석과 웹 취약점 분석은 물론 오픈소스 취약점, 라이선스 분석까지 단일 환경에서 제공하는 통합 플랫폼이다. 소프트웨어 개발 생명주기 전반에 걸쳐 보안 취약점을 사전에 식별하고 예방하며 지속적 통합·배포(CI/CD) 등 기존 개발 환경과 연동해 분석 프로세스를 능동적으로 자동화한다.
또, 규제 준수를 위한 SBOM 관리 기능이 고도화됐다. 리눅스의 ‘SPDX’(Software Package Data Exchange)와 OWASP 표준인 ‘CycloneDX’ 등 국제 표준 형식으로 SBOM을 자동 생성하고 이를 플랫폼에 등록해 전체 SW 구성요소를 직관적으로 가시화한다. 오픈소스 취약점 유무에 따라 반입을 통제하는 관리 포털도 별도로 제공해 악성 패키지의 내부 유입을 검증하고 차단한다.
도입 기관은 프로젝트 규모와 사용자 수에 맞춰 유연하게 라이선스를 구성할 수 있다. 플랫폼은 프로젝트 수에 따라 무제한인 얼티밋(Ultimate)과 제한형인 스탠다드(Standard)로 나뉘며 사용자 계정은 5 유저(User) 단위로 구매할 수 있다.
장일수 스패로우 대표는 “SW 공급망 보안은 이제 개발 단계뿐만 아니라 도입과 운영 전 과정에서 지속적으로 관리해야 하는 영역이 되고 있다”며 “Sparrow Enterprise를 통해 공공기관이 안정적인 공급망 보안 체계를 구축하고, SBOM 기반의 SW 가시성을 확보하여 보다 안전한 개발·운영 환경을 조성할 수 있도록 적극 지원할 것”이라고 말했다.
한편, 스패로우는 ‘Sparrow Enterprise’ 조달청 등록을 기념해 연말까지 공공기관 대상 프로모션을 전개한다. 연내 솔루션을 도입한 고객에게 공급망 보안 관리 플랫폼 스탠다드 버전과 공급망 보안 현황 진단 컨설팅을 추가로 무상 제공한다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














