스패로우, 고객사 대상으로 SW 공급망 보안 동향 제시

지난 PUC 2024 개최...취약점 통합 관리 방안 소개

장일수 스패로우 대표가 지난 13일 서울 양재 엘타워에서 열린 'PUC 2024'에서 키노트를 진행하고 있다. 스패로우 제공

스패로우는 지난 13일 서울 양재 엘타워에서 연례 고객 초청 행사 'PUC 2024(Power User Conference)'를 개최, 국내외 최대 이슈 소프트웨어(SW) 공급망 보안 동향과 이에 대응하기 위한 실제 적용 사례를 공유했다고 16일 밝혔다.

스패로우의 PUC는 다양한 산업군의 IT, 보안 담당자들에게 최신 애플리케이션 보안 현황 및 대응책을 공유하고자 마련되는 연례 콘퍼런스로 올해는 '차세대 애플리케이션 보안(Next Generation Application Security)'를 주제로 개최됐다. 스패로우는 이날 SW 공급망 보안 방안과 SW 공급망 참여자들의 역할을 제시하고, 신기술 기반의 취약점 통합 관리 플랫폼을 제공하기 위한 스패로우의 전략을 소개했다.

장일수 스패로우 대표는 "SW자재명세서(SBOM) 제출을 의무화하는 EU의 사이버 복원력 법안 발의와 미국의 안전한 SW 개발 체계(SSDF) 준수 요구 등, 각국에서 공급망 보안 강화를 위해 제도화를 추진 중"이라며 "SW의 신뢰성 확보 방안으로 SBOM이 주목받는 가운데 공급망 참여자들은 오픈소스 뿐만 아니라 자체 개발 및 상용 SW에 존재하는 취약점을 지속 모니터링해 공급망 관리 체계를 구축해 복원력을 강화해야 한다"고 강조했다.

아울러 SW 개발 수명 주기(SDLC)에 보안 테스트를 자동화하고 취약점을 통합 관리하는 방안으로 '스패로우 엔터프라이즈'를 제시했다. 장일수 대표는 "소스코드, 오픈소스, 웹 취약점을 하나의 플랫폼에서 분석하는 스패로우 엔터프라이즈는CI/CD 도구 및 형상관리 도구와 연동해 데브섹옵스(DevSecOps)를 구현할 수 있다"며 "취약점 점검 결과 보고서와 다양한 SBOM 포맷을 지원해 SW 투명성 확보가 가능하다"고 설명했다.

한편 이번 행사에서는 최신 기술 등장에 발 맞춘 스패로우의 로드맵도 공개됐다. 윤종원 스패로우 수석 연구원은 발표를 통해 "코드형 인프라(IaC, Infrastructure as Code), 컨테이너 등 애플리케이션 개발 환경에 신기술이 적용되면서 새로운 보안 위협 또한 등장하고 있다"며 "스패로우는 IaC 기반 인프라 취약점 진단, API 명세 기반 보안 취약점 동적 진단, 컨테이너 이미지 분석 등을 지속 연구해 대응해 나갈 것"이라고 밝혔다.김영욱기자 wook95@dt.co.kr