애플리케이션 보안 전문기업 스패로우가 공공기관의 소프트웨어(SW) 공급망 보안 수요에 대응하기 위해 통합 애플리케이션 보안 테스팅 솔루션을 조달시장에 선보였다.
스패로우는 애플리케이션 보안 테스팅(AST) 통합 플랫폼 ‘스패로우 엔터프라이즈(Sparrow Enterprise) v1.0’을 조달청 디지털서비스몰에 등록하고 이를 기념하는 프로모션을 진행한다고 13일 밝혔다.
최근 오픈소스 SW와 생성형 AI를 활용한 코드 개발이 빠르게 확산되면서 SW 공급망을 노린 사이버 공격도 증가하는 추세다. 이에 따라 공급망 보안은 기업뿐 아니라 공공기관의 핵심 과제로 떠오르고 있다. 정부 역시 최근 SW 공급망 보안 강화 로드맵을 발표하고 안전한 개발 절차 준수와 SW 자재명세서(SBOM) 관리, 공급망 위험에 대한 상시 모니터링 체계 구축 등을 주요 과제로 제시했다.
스패로우는 이러한 정책 기조에 맞춰 공공부문에서 더욱 체계적인 공급망 보안 환경을 구축할 수 있도록 스패로우 엔터프라이즈를 조달시장에 공급하게 됐다고 설명했다.
이 솔루션은 소스코드 보안 취약점과 품질 문제를 분석하는 기능을 비롯해 웹 애플리케이션 취약점 진단, 오픈소스 라이브러리의 보안 취약점과 라이선스 점검 기능까지 하나의 플랫폼에서 제공한다. 또 SW 개발 생명주기(SDLC) 전 단계에서 발생할 수 있는 보안 위험을 조기에 발견할 수 있도록 지원하며, CI/CD 환경과 연계한 자동 분석 기능도 제공한다.
SBOM 관리 기능도 강화했다. SPDX와 CycloneDX 등 국제 표준 형식의 SBOM을 자동 생성하며, 이를 플랫폼에 등록해 SW 구성 요소를 한눈에 확인할 수 있다. 이를 통해 공공기관은 공급망 구성 요소를 체계적으로 관리하고 향후 확대될 SBOM 기반 보안 관리 요구에도 선제적으로 대응할 수 있다.
오픈소스 컴포넌트에 대한 위험 관리 기능도 포함됐다. 관리 포털을 통해 취약점이 확인된 오픈소스의 사용 여부를 사전에 검증하고 반입을 통제할 수 있어 공급망 보안 리스크를 줄일 수 있다는 것이 회사 측 설명이다.
스패로우 엔터프라이즈는 플랫폼과 사용자 계정, 분석 권한 라이선스를 조합하는 방식으로 제공된다. 플랫폼은 프로젝트 수 제한이 없는 얼티밋(Ultimate)과 프로젝트 수에 제한을 둔 스탠다드(Standard) 버전으로 구성되며, 사용자 계정은 5명 단위로 구매할 수 있어 기관 규모와 운영 환경에 맞게 도입할 수 있다.
강동식 기자 lavita@datanews.co.kr