스패로우가 서울 양재 엘타워에서 연례 고객 행사인 ‘PUC 2025’를 열고 차세대 소프트웨어(SW) 공급망 보안 체계 구축 방안과 실제 적용사례를 공유했다.

PUC 2025에서 스패로우는 ‘공급망 보안 시대의 소프트웨어 신뢰와 안전’을 주제로, 금융·공공·의료·제조 등 다양한 산업 분야 IT·보안 담당자들에게 국내외 애플리케이션 보안 동향과 대응 전략을 소개했다.

특히 소프트웨어 공급망 위협을 사전에 예방하고 효율적으로 대응하기 위한 전략과 스패로우 제품을 활용한 소프트웨어 공급망 보안 체계 구축사례를 제시했다.

장일수 스패로우 대표는 키노트 발표를 통해 "취약한 오픈소스 소프트웨어가 개발 초기부터 사용되거나, 공격자가 빌드나 배포 시스템에 침투해 악성코드를 삽입하는 방식의 공격은 소프트웨어 개발 생명주기 전반에서 발생할 수 있다”고 언급했다.

이어 “단계별 취약점 점검을 강화해 데브섹옵스를 실현하고 소프트웨어 자재명세서(SBOM)를 활용해 취약점 대응 속도를 높여야 한다”고 강조했다. 

이어진 발표 세션에서는 윤종원 스패로우 개발센터장이 데브섹옵스 실현 방안과 소프트웨어 공급망의 신뢰성 확보 방안을 소개했다. 윤 센터장은 스패로우의 SBOM 유통 플랫폼으로 SBOM에 디지털 서명을 추가하고 공급사와 수요사가 검토 과정을 거치면 상호 간의 신뢰를 확보할 수 있다는 이점을 제시했다. 

스패로우의 SBOM 유통 플랫폼은 SW 공급망 보안의 필수요소인 SBOM을 보다 안전하게 공유하고 체계적으로 관리하기 위한 솔루션으로, 공급사는 SBOM에 디지털 서명을 추가해 신뢰할 수 있는 출처에서 생성됐으며 위·변조되지 않았음을 증명할 수 있다.

권한 기반의 접근 제어로 SBOM을 공급사와 수요사가 안전하게 주고받을 수 있고, 공유 이력과 접근 기록 관리도 가능하다.

윤 센터장은 “소프트웨어 개발 전주기에 걸쳐 일관된 보안 정책을 설정한 후 데브옵스 파이프라인과 애플리케이션 보안 테스팅 도구를 연동하면 데브섹옵스 실현은 물론 소프트웨어 공급망 보안도 강화할 수 있다”고 말했다. 

이후 세션으로 ▲소프트웨어 공급망 보안 정책과 대응 전략 ▲공급망 보안 관련 사고 사례와 프레임워크 ▲소프트웨어 보안을 위한 애플리케이션 보안 취약점 점검 체계 구축 여정 등이 진행됐다.

IT·보안 담당자가 보안 정책과 프로세스를 실제로 수립하는 과정에서 직면하는 여러 과제들을 해결하기 위한 토론 자리도 마련됐다.

여구용 스패로우 국내사업총괄 본부장은 “스패로우는 정부 주도 공급망 보안 정책과 연계한 다수의 과제에 참여하며 기술력을 입증해왔다”며, “소스코드 분석부터 SBOM 관리까지 소프트웨어 보안 전 영역을 커버하는 국내 유일의 기술 독자성을 바탕으로 글로벌 경쟁사 대비 높은 시장 적합성과 빠른 대응력을 보유하고 있다”고 강조했다.