[보안뉴스 한세희 기자] 래브라도랩스(대표 김진석·이희조)는 오픈소스 구성 분석 솔루션 ‘래브라도 SCA’를 조달청 나라장터 국가종합전자조달시스템에 등록했다고 7일 밝혔다.
공공기관은 나라장터 조달 절차를 통해 래브라도 SCA를 보다 신속하게 검토하고 도입할 수 있게 됐다.

[출처: 래브라도랩스]
공공 소프트웨어 사업에서 오픈소스는 필수 요소다. 문제는 소프트웨어 안에 어떤 오픈소스가 들어 있는지, 어떤 버전이 사용됐는지, 그 안에 알려진 취약점이나 라이선스 의무가 있는지 끝까지 추적하기 어렵다는 점이다
오픈소스는 가져다 쓰는 순간부터 수정되고, 다른 오픈소스와 연결되며, 버전이 달라진다. 규모가 커질수록 사람이 확인할 수 있는 범위를 넘어선다. 어떤 내용이 들어 있는지 모르면, 무엇이 위험한지도 알 수 없다.
정부는 최근 소프트웨어 공급망 보안을 주요 정책 과제로 제시했다. 과학기술정보통신부와 국가정보원은 지난달 ‘AI 일상화 시대를 준비하는 SW 공급망 보안 로드맵’을 발표했다. 고성능 AI를 활용한 공격이 취약점 탐지와 공격 수행을 자동화하면서 기존 보안 체계만으로는 방어가 어렵기 때문이다. 정부는 SBOM을 활용한 공급망 보안 관리 모델 확산을 주요 전략으로 제시했다.
이번에 조달 등록된 래브라도 SCA는 소스코드·바이너리·컨테이너에 담긴 오픈소스 구성요소를 자동 식별하고, 취약점과 라이선스 리스크를 점검하는 솔루션이다. 식자재의 원산지와 성분을 확인하듯, 래브라도 SCA는 소프트웨어 안에 포함된 오픈소스 구성요소와 버전, 취약점, 라이선스 정보를 분석한다.
래브라도 SCA는 특허 기술인 ‘CENTRIS·VUDDY’ 알고리즘을 기반으로 컴포넌트·파일·함수 단위까지 분석, 오픈소스 구성요소와 취약점, 라이선스 위반 가능성을 탐지한다. 또 자체 AI 모델을 적용해 탐지 결과의 정확도를 높이고, 단순히 취약점 목록을 나열하는 데 그치지 않고 우선순위가 높은 취약점을 가려낸다.
기존 공통위험도 점수(CVSS)만으로는 실제 운영 환경에서 무엇을 먼저 조치해야 할지 판단하기 어렵다는 문제도 해결한다. 자체 위험도 기준인 LPP(Labrador Patch Priorities)로 패치 우선순위를 제시하고, 취약 코드만 선별해 수정하도록 지원한다. 보안 담당자는 전체 시스템을 무리하게 바꾸지 않고 실제 위험이 큰 부분부터 빠르게 대응할 수 있다.
래브라도 SCA는 SPDX나 사이클론(Cyclone)DX 국제 표준 형식의 SBOM을 자동 생성하고, 라이선스 고지문 생성 기능도 제공해 감사, 규제 대응, 납품 문서 작성 등에 활용할 수 있다. 공공기관은 이를 통해 SW 구성요소를 투명하게 관리하고, 공급망 보안 요구사항에 대응할 수 있다. 다양한 개발 언어와 주요 패키지 매니저, CI/CD 도구를 지원하는 것도 장점이다.
김진석 래브라도랩스 대표는 ”오픈소스는 편리하지만, 그 안에 무엇이 들어 있는지 모르면 위험도 함께 들여온 것”이라며 “래브라도 SCA 조달 등록으로 공공기관이 별도 절차 없이 오픈소스 취약점과 라이선스 리스크를 체계적으로 관리할 수 있는 기반을 마련하게 됐다”고 말했다.
[한세희 기자(hahn@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>








.jpg)





