애플리케이션 보안 기업 스패로우(대표 장일수)가 제공하는 소스코드 보안약점 분석도구 ‘Sparrow SAST’가 과기정통부가 주최하는 ‘2024 하반기 대한민국 정보보호제품 혁신대상’에서 정보·물리보안 부문 대상을 수상했다. SW 공급망 공격이 전세계를 위협하는 가운데, Sparrow SAST는 코드의 품질과 보안성을 향상시킬 수 있어 안전한 SW를 개발하는데 필수적인 솔루션으로 평가받고 있다.
미국의 솔라윈즈 사태와 Log4j 취약점의 발견은 SW 공급망 공격의심각성이 대두됐다. SW 공급망 공격은 개발사로부터 최종 이용자에게 배포되는 공급망을 타고 연쇄적인 피해를 일으키기 때문에 치명적이다. 이에 정부는 ‘SW 공급망 보안 가이드라인’을 마련하며, 개발사에서 SW 취약점을 최소화해 보안이 잘 갖춰진 SW를 제작할 것을 강조하고 있다.
Sparrow SAST는 소스코드에 잠재하는 보안 약점을 SW 보안약점 진단 가이드, 전자금융감독규정, CWE 등 국내외 주요 점검 기준으로 분석해 해결방안을 제공한다. C/C++, 자바(Java), 코틀린(Kotlin), 고(Go) 등 20개 이상의 주요 프로그래밍 언어와 전자정부 표준 프레임워크, 스프링 프레임워크 등 10개 이상의 프레임워크를 지원한다.
개발자 편의를 고려해 취약점 발생 위치와 코드 수정 예시를 제공하는 등 취약점 조치 방안도 상세히 제공한다. 형상 관리 도구와 연동해 개발자가 안전한 코드만 반영하도록 소스코드 자동 점검 시스템을 구축할 수 있으며, 최종 릴리즈 전에는 보안 담당자가 전수 분석으로 SW 안전성과 보안성을 높일 수 있다.
특히 Sparrow SAST는 오픈소스 관리 도구인 Sparrow SCA와 함께 단일 플랫폼 내에서 사용할 수 있어 SW 공급망 공격 예방에 효과적이다. 한 번의 분석으로 자체 개발한 소스코드 뿐만 아니라 사용 중인 오픈소스에 존재하는 취약점도 식별할 수 있다. 점검 결과를 통합 관리함으로써 보안 리스크도 줄여준다.
스패로우 장일수 대표는 “이번 수상은 애플리케이션 보안을 넘어 SW 공급망 보안 관리 체계 구축을 위한 스패로우의 기술력을 인정받은 결과”라며 “앞으로도 시큐어 코딩 도구를 포함한 다양한 애플리케이션 보안 테스팅 도구를 혁신해 안전하고 신뢰할 수 있는 공급망을 형성할 수 있도록 적극 지원하겠다”고 말했다.