애플리케이션 보안 전문 기업 스패로우(대표 장일수)의 소프트웨어 취약점 분석 도구인 ‘Sparrow SAST’, ‘Sparrow DAST’, ‘Sparrow SCA’가 공공 조달의 각 해당 부문에서 2년 연속 판매 1위를 달성했다. 공공 애플리케이션 보안 테스트 시장의 리더로서 한국인터넷진흥원, 국민연금공단, 한국주택금융공사 등에 제품을 공급해 온 스패로우는 국내 공공기관들의 소프트웨어 공급망 보안 체계를 고도화해 나간다.

현재 행정 및 공공기관은 시큐어코딩 의무화에 따라 소프트웨어 개발 단계에서 보안 약점을 제거해야 한다. 또한 최근 Log4j와 매직라인(MagixLine4NX) 등 보안 취약점을 악용한 소프트웨어 공급망 공격이 잇따라 발생하며 오픈소스에 대한 관리와 유통 전 과정에서의 소프트웨어 안전 확보의 중요성도 높아지고 있다. 실제 미국과 유럽연합에서는 이미 올해부터 공공기관에 ICT 제품 공급 시 SBOM(소프트웨어 자재명세서) 작성 및 제출이 의무화됐다. 국내도 국가정보원과 과학기술정보통신부가 3월 중 SBOM 표준화를 비롯해 공급망 단계별 체크리스트 등 ‘ICT 공급망 보안 가이드라인’을 공개할 예정이다.

스패로우는 공공기관이 소프트웨어의 안전성을 높이고 소프트웨어 공급망 공격에 효과적으로 대응할 수 있도록 애플리케이션 보안 테스트 도구 3종을 조달청 디지털서비스몰에 제공, 2년 연속으로 각 부문 판매 1위를 기록 중이다. 소스코드 보안 약점 분석 도구인 Sparrow SAST는 소스코드에 잠재된 보안 취약점을 진단하고 소프트웨어 개발 보안 가이드를 준수하도록 돕는다. 웹 애플리케이션 취약점 동적 분석 도구인 Sparrow DAST는 누리집에서 발생 가능한 취약점을 분석해 SQL Injection, XSS등에 대한 공격을 예방한다. 국내 최초로 공공 조달에 선 뵌 오픈소스 관리 도구 Sparrow SCA는 오픈소스 라이선스와 취약점 정보를 제공해, Log4j와 같은 취약점 발생 즉시 해당 소프트웨어의 사용 여부를 확인해 안전한 버전으로의 업데이트를 지원한다. 또한 최근 필수 보안 요건으로 떠오른 SBOM 생성 기능을 제공해 공급망 보안 가이드라인을 준수하고 소프트웨어 가시성을 확보할 수 있다.

스패로우 장일수 대표는 “개발 방식도 변화하고 공급망 환경도 복잡다단해져 과거의 단편적인 취약점 분석으로는 한계가 있으며 설계, 개발, 테스트 및 운영 전 과정에서 활용할 수 있는 자동화된 보안 취약점 분석 도구들이 필요하다“며, “해당 부문 조달 1위의 스패로우는 공공기관을 타겟으로 하는 사이버 공격을 예방하기 위해 수요자와 공급자가 모두 만족하는 솔루션을 지속적으로 개발하고 제공하겠다”고 말했다.