데일리연합 (SNSJTV. 아이타임즈M) 곽중희 기자 | 국내 소프트웨어(SW) 개발사들이 최근 급증하는 SW 공급망 공격에 대응하기 위해 보안 취약점 관리와 오픈소스 관리를 강화하고 있다. 이에 SW 보안 전문 기업 스패로우는 넷앤드, 라온시큐어, 소만사, 슈프리마 등 국내 주요 개발사에 보안 솔루션을 공급하며, 안전한 개발 환경 구축을 돕고 있다.
SW 공급망 공격은 개발 단계에서 악성코드를 삽입하거나 보안 취약점을 이용해 최종 사용자에게까지 피해를 주는 형태로, 그 피해가 연쇄적으로 확산될 수 있다. 대표적인 사례로는 솔라윈즈 사태와 Log4j 취약점 사건이 있다. 이러한 공격이 날로 고도화됨에 따라, 미국 사이버 보안 기관인 CISA는 SW 개발사가 제품 개발 초기부터 보안을 강화하는 ‘시큐리티 바이 디자인(Security by Design)’을 시행할 것을 권고했다.
한국 정부 역시 '소프트웨어 공급망 보안 가이드라인 v1.0'을 발간해 개발 단계부터 보안 취약점을 최소화하고 SW에 포함된 라이브러리 및 배포 체계의 보안을 강화할 것을 권장하고 있다. 가이드라인에는 안전한 코드 개발 환경 구축, 공개 SW 관리, 소프트웨어 자재명세서(SBOM)를 통한 구성 요소 검증 등의 활동이 포함된다.
이에 넷앤드, 라온시큐어, 소만사, 슈프리마 등의 SW 개발사들은 스패로우의 솔루션을 도입해 SW 보안 취약점과 오픈소스 관리를 강화하고 있다. 주요 도입 솔루션은 소스코드 취약점 분석을 제공하는 Sparrow SAST, 웹 환경에서 발생하는 취약점을 점검하는 Sparrow DAST, 오픈소스 취약점과 라이선스를 관리하는 Sparrow SCA 등이다. 이들 솔루션은 SW 보안성을 높이고 공급망 공격을 예방하는 데 기여하고 있다.
스패로우의 장일수 대표는 "SW 공급망 보안은 선택이 아닌 필수 과제가 됐다"며, "개발 단계에서부터 철저한 보안 관리와 오픈소스 통합 관리가 제품의 안전성을 보장하는 핵심"이라고 강조했다.
