스패로우, 2년 연속 공공조달 각 부문 1위…“공공기관 공급망 보안 해결”

김민지 기자

honest@datanews.co.kr | 2024.02.22 10:54:47

스패로우, 2년 연속 공공조달 각 부문 1위 “공공기관 공급망 보안 해결”

애플리케이션 보안 전문기업 스패로우(대표 장일수)는 소프트웨어(SW) 취약점 분석 도구인 '스패로우 SAST’, ‘스패로우 DAST’, ‘스패로우 SCA’가 공공 조달의 각 해당 부문에서 2년 연속 판매 1위를 달성했다고 22일 밝혔다.

공공 애플리케이션 보안 테스트 시장의 리더로서 한국인터넷진흥원, 국민연금공단, 한국주택금융공사 등에 제품을 공급해 온 스패로우는 국내 공공기관의 SW 공급망 보안 체계를 고도화해 나간다.

현재 행정 및 공공기관은 시큐어코딩 의무화에 따라 SW 개발 단계에서 보안 약점을 제거해야 한다. 또한 최근 로그4j(Log4j)와 매직라인(MagixLine4NX) 등 보안 취약점을 악용한 SW 공급망 공격이 잇따라 발생하며 오픈소스에 대한 관리와 유통 전 과정에서의 SW 안전 확보의 중요성도 높아지고 있다.

실제 미국과 유럽연합에서는 이미 올해부터 공공기관에 ICT 제품 공급 시 SW 자재명세서(SBOM) 작성 및 제출이 의무화됐다. 국내도 국가정보원과 과학기술정보통신부가 3월 중 SBOM 표준화를 비롯해 공급망 단계별 체크리스트 등 ‘ICT 공급망 보안 가이드라인’을 공개할 예정이다.

스패로우는 공공기관이 SW의 안전성을 높이고 SW 공급망 공격에 효과적으로 대응할 수 있도록 애플리케이션 보안 테스트 도구 3종을 조달청 디지털서비스몰에 제공, 2년 연속으로 각 부문 판매 1위를 기록 중이다.

소스코드 보안 약점 분석 도구인 스패로우 SAST는 소스코드에 잠재된 보안 취약점을 진단하고 소프트웨어 개발 보안 가이드를 준수하도록 돕는다. 웹 애플리케이션 취약점 동적 분석 도구인 스패로우 DAST는 누리집에서 발생 가능한 취약점을 분석해 SQL Injection, XSS등에 대한 공격을 예방한다.

국내 최초로 공공 조달에 선 뵌 오픈소스 관리 도구 스패로우 SCA는 오픈소스 라이선스와 취약점 정보를 제공해, Log4j와 같은 취약점 발생 즉시 해당 SW의 사용 여부를 확인해 안전한 버전으로의 업데이트를 지원한다. 또 최근 필수 보안 요건으로 떠오른 SBOM 생성 기능을 제공해 공급망 보안 가이드라인을 준수하고 SW 가시성을 확보할 수 있다.

장일수 스패로우 대표는 “개발 방식도 변화하고 공급망 환경도 복잡다단해져 과거의 단편적인 취약점 분석으로는 한계가 있으며 설계, 개발, 테스트 및 운영 전 과정에서 활용할 수 있는 자동화된 보안 취약점 분석 도구들이 필요하다“며, “해당 부문 조달 1위의 스패로우는 공공기관을 타깃으로 하는 사이버 공격을 예방하기 위해 수요자와 공급자가 모두 만족하는 솔루션을 지속적으로 개발하고 제공하겠다”고 말했다.

김민지 기자 honest@datanews.co.kr