애플리케이션 보안 전문기업 스패로우(대표 장일수)가 SaaS 기반 애플리케이션 보안 취약점 분석 솔루션 ‘스패로우 클라우드 2.0(Sparrow Cloud 2.0)’을 출시했다. 새로운 스패로우 클라우드는 오픈소스 분석 서비스를 추가해, 소프트웨어 자재명세서인 SBOM(Software Bill of Materials)을 활용한 SW 공급망 관리가 가능하다.
과학기술정보통신부와 한국인터넷진흥원은 ‘2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망’을 통해 올해 주요 사이버 위협으로 SW 공급망 공격을 꼽았다. 정부는 실제로 5월 ‘SW 공급망 보안 가이드라인 v1.0’을 발표하며, SBOM을 활용한 SW 신뢰성 확보를 강조하고 있다.
이에 스패로우는 소스코드 보안약점(SAST)과 웹 취약점(DAST)을 함께 분석할 수 있는 국내 유일 클라우드 기반 보안 서비스인 스패로우 클라우드에 SBOM 기능이 포함된 오픈소스 분석 서비스를 추가했다. 이로써 코드 결함을 사전에 식별하고 취약점을 지속 모니터링해 SW 개발·배포 과정의 품질을 높이는 것은 물론, SW구성 요소를 가시화하는 SBOM으로 공급망 위험 관리도 가능해졌다.
뿐만 아니라 SW 공급망 보안 가이드라인 준수도 가능해져, SW 개발기업은 사용중인 오픈소스 라이선스를 파악, 해당 소스의 취약점 정보를 식별하고 SBOM을 자동 생성할 수 있다. SW 운영기업의 경우 SBOM으로 SW 구성요소 검증과 지속적인 취약점 및 라이선스 관리가 가능하다. 스패로우 클라우드는 하반기 중으로 온라인 취약점 진단 컨설팅 서비스도 함께 제공할 예정이다.
한편 스패로우는 보안 예산이 부족한 기업이 합리적인 가격에 취약점을 통합 관리할 수 있도록 요금 정책을 개편하고 프로모션도 진행한다. 먼저 10월까지 소스코드(SAST)와 웹취약점(DAST) 분석을 함께 연간 구독하면 오픈소스(SCA) 서비스를 무료로 사용할 수 있다. 프로모션 후에도 개편된 요금 정책에 따라 SAST, DAST, SCA를 모두 함께 구독하는 경우 연간 15% 할인 혜택을 제공한다.
스패로우 장일수 대표는 “지난달 미국 대형 사이버보안 기업인 크라우드스트라이크의 제품 업데이트 결함으로 발생한 전세계 IT 대란은 공급망 관리의 중요성을 여실히 드러냈다”며 “SW 개발, 공급, 운영 등 공급망 전 과정에서 SW 신뢰성과 투명성을 확보할 수 있도록 스패로우 클라우드 서비스를 지속 업데이트해 나가겠다”고 말했다.