스패로우가 7일과 8일 양일간 양재 AT센터에서 열린 ‘2025년도 공급망보안 워크숍’에 참여해, 신뢰할 수 있는 소프트웨어 공급망 형성 방안을 발표했습니다.
한국정보보호학회 산하 공급망보안연구회가 주최한 이번 워크숍은 국내외 공급망 보안 정책과 최신 기술 동향, 공급망 보안 강화 사례 등을 공유하기 위해 마련된 자리입니다. 워크숍에는 산·학·연·관·군의 보안 전문가들이 참여해 공급망 보안 정책 추진 방향과 산업별 적용 방안 등을 폭넓게 논의했습니다.
8일에 진행된 ‘SW 공급망 보안 솔루션’ 세션에서 윤종원 스패로우 개발센터장은 ‘신뢰할 수 있는 SW 공급망 보안을 위한 SBOM 유통·관리 솔루션의 미래’를 주제로 발표했습니다. 이번 발표에서는 소프트웨어 공급망을 겨냥한 사이버 공격이 증가함에 따라 개발 전주기에 걸친 애플리케이션 보안 테스팅과 보안 태세 관리의 중요성이 강조됐습니다. 복잡한 공급망에서 소프트웨어 안전을 확보하기 위해서는 소스 코드, 오픈소스 라이브러리, 컨테이너 이미지 등 다양한 형태의 소프트웨어에 대한 보안 취약점 점검이 필수적입니다. 윤 센터장은 이에 따라 전체 애플리케이션의 보안 상태를 관리하는 ASPM(Application Security Posture Management)을 활용해 애플리케이션 보안 테스팅 도구를 통합하고, 취약점 분석 결과를 한눈에 파악해 우선순위 기반으로 조치해야 한다고 제시했습니다.
또한 윤 센터장은 “SW 공급망의 투명성과 신뢰성을 확보하기 위해서는 SBOM 생성을 넘어 위·변조 여부 증명과 안전한 공유, 그리고 상호 검토 과정을 거쳐야 한다”며, 신뢰 높은 소프트웨어 공급망을 형성하기 위한 스패로우의 SBOM 유통 플랫폼을 소개했습니다. 공급사는 디지털 서명 기능을 활용해 신뢰할 수 있는 출처에서 생성되었음을 증명하고, 권한 기반의 접근 제어와 공유 이력 관리로 SBOM을 안전하고 편리하게 주고 받을 수 있다고 설명했습니다.
장일수 스패로우 대표는 “생성형 AI를 활용한 소프트웨어 개발 방식이 확산되면서 개발 생산성은 높아졌지만, AI가 생성한 코드에 포함된 취약점을 인지하지 못한 채 사용하는 위험이 커지고 있다”며 “스패로우는 AI가 생성한 코드를 즉시 분석해 보안 취약점을 탐지하고 조치 방안과 우선순위를 제안하는 솔루션을 하반기 선보일 계획이다”고 말했습니다.
