[디지털데일리 김보민기자] 스패로우가 소프트웨어(SW) 공급망 보안 분야에서 기술력을 강화하고 있다.

스패로우는 국내 기업 넷앤드, 라온시큐어, 소만사, 슈프리마 등에 SW 공급망 보안에 특화된 제품을 공급하고 있다고 14일 밝혔다.

SW 공급망 공격은 개발 단계에서부터 악성코드를 삽입하거나, 보안 취약점을 악용해 최종 사용자에게 피해를 줄 수 있다. 한 번의 공격으로 연쇄 피해를 일으킬 수 있다는 특징이 있다.

주요국 사이에서도 SW 공급망 공격을 막기 위한 전략을 채비하는 데 분주한 분위기다. 대표적으로 미국 사이버보안 전담 기관 CISA에서는 개발사들이 제품을 완성하기 전부터 취약점을 조치하는 '시큐리티 바이 디자인'을 이행하도록 했다.

국내의 경우 정부가 '소프트웨어 공급망 보안 가이드라인'을 발간하며, 개발사의 공급망 보안 권장 활동을 제시했다. 가이드라인에는 개발 단계에서부터 보안 취약점을 최소화하고, SW에 포함된 라이브러리와 빌드 및 배포 체계의 보안성을 확보할 것을 권고하는 내용이 담겼다.

스패로우는 ▲스패로우 SAST ▲스패로우 DAST ▲스패로우 SCA 등 주요 제품군을 통해 SW 공급망 보안을 지원하고 있다. 스패로우 SAST는 SW 보안 약점 진단 가이드 등 점검 기준을 바탕으로 소스코드 취약점을 분석하고 해결 방안을 제시한다. SW 개발사는 수시 분석으로 개발자가 안전한 소스코드를 작성하도록 하고, 전체 코드를 재검증해 SW 보안성을 확보할 수 있다.

스패로우 DAST는 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 등 점검 기준으로 운영 중인 환경에서 발생하느 ㄴ웹 취약점을 검출한다. SW 개발사는 스패로우 SAST로 시큐어 코딩을 적용한 후, 스패로우 DAST로 입출력 과정에서 나타나는 취약점을 점검할 수 있다.

사용 중인 오픈소스를 식별해 취약점과 라이선스 정보를 제공하는 스패로 SCA로는 안전한 오픈소스 버전 정보를 확인하고 업데이트할 수 있다. 또한 소프트웨어자재명세서(SBOM) 자동 생성도 가능하다.

장일수 스패로우 대표는 "국내외 공급망 보안 공격이 거세짐에 따라 SW개발사에게 SW 공급망 보안은 이제 선택이 아닌 필수로 자리잡았다"며 "개발 단계부터 보안을 고려하고, 자체 개발된 코드뿐 아니라 다양한 형태의 오픈소스들을 적절한 분석을 통해 통합관리 할 수 있어야 제품의 안전성이 확보된다"고 말했다.