애플리케이션 보안 전문기업 스패로우(대표 장일수)는 17일 오후 서울 양재 엘타워에서 열린 연례 고객 초청 행사 ‘PUC 2025(Power User Conference)’를 성황리에 마무리했다. 스패로우는 이번 행사에서 SW 공급망 보안 체계 구축 방안과 함께 실제 적용 사례를 공유했다.
‘공급망 보안 시대의 SW 신뢰와 안전’을 주제로 열린 'PUC 2025'는 금융, 공공, 의료, 제조 등 다양한 산업 분야의 IT 및 보안 담당자들이 참석해 국내외 애플리케이션 보안 동향과 대응 전략을 공유하했다. 스패로우는 이날 증가하는 SW 공급망 위협을 사전에 예방하고 효율적으로 대응하기 위한 전략과 함께 스패로우 제품을 활용한 SW 공급망 보안 체계 구축 사례를 제시했다.
키노트 연사로 나선 장일수 스패로우 대표는 "취약한 오픈소스 소프트웨어가 개발 초기부터 사용되거나, 공격자가 빌드나 배포 시스템에 침투해 악성코드를 삽입하는 방식의 공격은 SW 개발 생명주기 전반에서 발생할 수 있다”며 “단계별 취약점 점검을 강화해 데브섹옵스(DevSecOps)를 실현하고 소프트웨어 자재명세서인 SBOM(S봄)을 활용해 취약점 대응 속도를 높여야 한다”고 밝혔다. 또 AI 에이전트를 활용한 코드 자동 생성 과정에서의 시큐어 코딩 중요성도 강조했다.
이어진 발표 세션에서는 윤종원 스패로우 개발센터장이 데브섹옵스 실현 방안과 SW 공급망의 신뢰성 확보 방안을 소개했다. 윤 센터장은 “SW 개발 전주기에 걸쳐 일관된 보안 정책을 설정한 후, 데브옵스(DevOps) 파이프라인과 애플리케이션 보안 테스팅 도구를 연동하면 데브섹옵스 실현은 물론 SW 공급망 보안도 강화할 수 있다”고 말했다. 또 스패로우의 SBOM 유통 플랫폼으로 SBOM에 디지털 서명을 추가하고 공급사와 수요사가 검토 과정을 거치면 상호 간 신뢰를 확보할 수 있다고 말했다.
윤 센터장이 소개한 SBOM 유통 플랫폼은 SW 공급망 보안의 필수요소인 SBOM을 보다 안전하게 공유하고 체계적으로 관리하기 위한 것이다. 공급사는 SBOM에 디지털 서명을 추가해 신뢰할 수 있는 출처에서 생성됐으며 위·변조되지 않았음을 증명할 수 있다. 권한 기반의 접근 제어로 SBOM을 공급사와 수요사가 안전하게 주고받을 수 있으며, 공유 이력과 접근 기록 관리도 가능하다.
관련기사
- "SW 공급망 보안 이렇게 하세요"···스패로우, '애플리케이션 시큐리티 서밋 2025' 개최2025.05.29
- '스패로우 3총사' 공공조달서 모두 1위···SAST는 10년 연속 정상2025.05.22
- 李대통령, G7 확대세션서 "아태 제1의 AI허브 구축하겠다"2025.06.18
- "손이 곧 지능, 손재주 있는 로봇 개발할 것"2025.06.18
이후 세션으로 △SW 공급망 보안 정책과 대응 전략 △공급망 보안 관련 사고 사례와 프레임워크 △SW보안을 위한 애플리케이션 보안 취약점 점검 체계 구축 여정 등이 진행됐다. 또 IT 및 보안 담당자가 보안 정책과 프로세스를 실제로 수립하는 과정에서 직면하는 여러 과제들을 해결하기 위한 실시간 Q&A 시간도 가졌다.
여구용 스패로우 국내사업총괄 본부장은 “스패로우는 정부 주도 공급망 보안 정책과 연계한 다수의 과제에 참여하며 기술력을 입증해왔고, 이를 기반으로 다수 금융기관과 공공기관의 프로젝트에도 연이어 선정되며 레퍼런스를 확대 중”이라며 “스패로우는 소스코드 분석부터 SBOM 관리까지 SW 보안 전 영역을 커버하는 국내 유일의 기술 독자성을 바탕으로, 글로벌 경쟁사 대비 높은 시장 적합성과 빠른 고객 대응력을 보유하고 있다”고 말했다.
