스패로우가 이달 7일과 8일 양일간 양재동 aT센터에서 열린 ‘2025년도 공급망보안 워크숍’에 참여해 신뢰할 수 있는 소프트웨어(SW) 공급망 형성 방안을 공유했다.

한국정보보호학회 산하 공급망보안연구회가 주최한 이번 워크숍은 국내외 공급망 보안 정책과 최신 기술 동향, 공급망 보안 강화 사례 등을 공유하기 위한 자리로 마련됐다.

워크숍에는 산·학·연·관·군의 보안 전문가들이 참여해 공급망 보안 정책 추진 방향과 산업별 적용 방안 등을 논의했다.

8일에 진행된 ‘SW 공급망 보안 솔루션’ 세션에서 윤종원 스패로우 개발센터장은 ‘신뢰할 수 있는 SW 공급망 보안을 위한 SBOM 유통·관리 솔루션의 미래’를 주제로 발표했다. 

윤 센터장은 발표를 통해 SW 공급망을 겨냥한 사이버공격이 증가함에 따라 개발 전주기에 걸친 애플리케이션 보안 테스팅과 보안 태세 관리의 중요성을 강조했다.

복잡한 공급망에서 SW 안전을 확보하기 위해서는 소스코드와 오픈소스 라이브러리, 컨테이너 이미지 등 다양한 형태의 SW에 대한 보안 취약점 점검이 필요하다. 

윤 센터장은 “전체 애플리케이션의 보안 상태를 관리하는 ASPM(Application Security Posture Management)을 활용해 애플리케이션 보안 테스팅 도구를 통합하고, 취약점 분석 결과를 한눈에 파악해 우선순위 기반으로 조치해야 한다”고 조언했다.

윤 센터장은 “SW 공급망의 투명성과 신뢰성을 확보하기 위해서는 SBOM 생성을 넘어 위·변조 여부 증명과 안전한 공유, 상호 검토 과정을 거쳐야 한다”며 스패로우의 SBOM 유통 플랫폼 사례를 공유했다.

장일수 스패로우 대표는 “생성AI를 활용한 SW 개발 방식이 확산되면서 개발 생산성은 높아졌지만 AI가 생성한 코드에 포함된 취약점을 인지하지 못한 채 사용하는 위험이 커지고 있다”며 “스패로우는 AI가 생성한 코드를 즉시 분석해 보안 취약점을 탐지하고 조치 방안과 우선순위를 제안하는 솔루션을 하반기 선보일 계획”이라고 전했다.