스패로우, 'Sparrow Enterprise' 조달청 등록…공공 대상 SW 공급망 보안 체계 구축 지원

스패로우, 'Sparrow Enterprise' 조달청 등록…공공 대상 SW 공급망 보안 체계 구축 지원

애플리케이션 보안 전문기업 스패로우(대표 장일수)는 애플리케이션 보안 테스팅 통합 솔루션 '스패로우 엔터프라이즈(Sparrow Enterprise v1.0)'를 조달청 디지털서비스몰에 등록하고, 이를 기념한 프로모션을 진행한다고 13일 밝혔다.

오픈소스와 인공지능(AI) 생성 코드를 활용한 소프트웨어(SW) 개발 방식이 확대되고 공급망이 복잡해짐에 따라, 취약점을 노린 공급망 공격이 전세계적으로 급격하게 증가하고 있다. 실제로 SW 공급망 공격으로 인한 글로벌 피해액은 2023년 460억 달러에서 2031년 1380억 달러로 증가할 것으로 전망된다. 이에 정부는 지난달 'SW 공급망 보안 강화 로드맵'을 발표하고, 시큐어코딩 등 안전한 SW 개발 방법론 준수와 공공분야 SBOM(소프트웨어 자재명세서) 관리, 공급망 위험 실시간 모니터링 등을 강조한 바 있다.

스패로우, 'Sparrow Enterprise' 조달청 등록…공공 대상 SW 공급망 보안 체계 구축 지원

이러한 정책 방향에 맞춰 스패로우는 공공기관이 SW 공급망 보안 체계를 구축할 수 있도록 Sparrow Enterprise를 조달청 디지털서비스몰에 등록했다. Sparrow Enterprise는 소스코드 보안약점 및 품질 결함 분석, 웹 취약점 분석, 오픈소스 취약점 및 라이선스 분석을 단일 환경에서 제공하는 애플리케이션 보안 테스팅 통합 솔루션이다. 소프트웨어 개발 생명주기 전반에 걸쳐 발생 가능한 보안 취약점을 사전에 식별하고 예방한다. 또한 CI/CD 등 개발 환경과의 연동으로 분석을 자동화할 수 있도록 지원한다.

나아가 SPDX, CycloneDX 등 국제 표준 형식으로 SBOM을 자동 생성하고, 생성된 소프트웨어 자재비용(SBOM)을 Sparrow Enterprise에 등록해 SW의 구성요소를 가시화하는 것도 가능하다. 이를 통해 공공기관은 SBOM 기반의 공급망 보안 체계를 구축해 향후 강화될 SBOM 관리 및 공급망 위험관리 요구사항에 선제적으로 대비할 수 있다. 오픈소스 취약점 유무에 따라 반입을 통제하는 관리 포털도 제공해 리스크를 사전에 검증하고 차단할 수 있다.

Sparrow Enterprise는 플랫폼, 사용자 계정, 분석 권한 라이선스로 구성돼 프로젝트 규모와 사용자 수 등에 맞춰 구매 가능하다. 플랫폼은 분석 가능한 프로젝트 수 제한이 없는 얼티밋(Ultimate)과 제한이 있는 스탠다드(Standard)로 나뉘며, 사용자 계정은 5 유저(User) 단위로 구매할 수 있다.

장일수 스패로우 대표는 “SW 공급망 보안은 이제 개발 단계뿐만 아니라 도입과 운영 전 과정에서 지속적으로 관리해야 하는 영역이 되고 있다”며, “Sparrow Enterprise를 통해 공공기관이 안정적인 공급망 보안 체계를 구축하고, SBOM 기반의 SW 가시성을 확보하여 보다 안전한 개발·운영 환경을 조성할 수 있도록 적극 지원할 것”이라고 말했다.

한편 스패로우는 Sparrow Enterprise의 조달청 디지털서비스몰 등록을 기념해 공공기관을 대상으로 연말까지 프로모션을 진행한다. 도입 문의를 남긴 고객에게는 선물을 증정하며, 연내 Sparrow Enterprise를 도입한 고객에게는 공급망 보안 관리 플랫폼(Standard)과 공급망 보안 현황 진단 컨설팅을 추가로 제공한다.

이경민 기자 kmlee@etnews.com