파수, SBOM도구에 AI 입혔다…코드 자동 생성

정보보호 기업 파수가 소프트웨어(SW) 공급망 보안에 필요한 소프트웨어 자재 명세서(SBOM·Software Bill of Materials)에 인공지능(AI) 기능을 더했다고 밝혔다. 장일수 스패로우 대표는 22일 서울 여의도 페어몬트앰버서더호텔에서 열린 고객 초청 사업 설명회 '파수 디지털 인텔리전스 심포지움(FDI)'에서 이같이 발표했다. 스패로우는 파수 자회사다. 장 대표는 “AI 기능을 가진 제품을 곧 출시하겠다”며 “코드를 자동으로 만들고, 정탐율을 최고로 끌어올리고, 어떤 취약점부터 우선 조치할지 우선순위 매기고, 취약점을 설명하는 보고서를 자동으로 쓰는 기능을 갖췄다”고 말했다. 장 대표는 “SBOM을 '생성-보강-검증-공유-검토'하는 단계로 관리해야 한다”며 “사람이 하나하나 손보려면 비효율적이라 도구가 필요하다”고 설명했다. 그러면서 '스패로우 엔터프라이즈'를 소개했다. 장 대표는 “SBOM을 만들어 등록하고 공유하면서 관리해야 한다”며 “스패로우는 한 번 만들고 끝나는 게 아니라 지속적으로 상호 검토해 새로운 취약점이 나오면 운영자와 개발자에게 알려 빠르게 조치하도록 돕는다”고 강조했다. 그는 “침해 사고가 아예 안 일어날 수는 없다”며 “어제 취약점이 아니었던 게 오늘은 취약점이 될 수 있으니 계속 관리해야 한다”고 주장했다. 또 “스패로우는 데이터에 기반해 알맞은 수정 방안을 제시한다”며 “문제 유형을 자동으로 나누고, 사람 실수와 반복 작업을 최소화하도록 지원한다”고 했다. 장 대표는 효율적으로 투자하는 법도 귀띔했다. 그는 “생성하려면 대량언어모델(LLM)을 써야 한다”면서도 “분류하는 데에는 기존 머신러닝과 딥러닝으로 충분해 보안과 비용 문제를 해결할 수 있다”고 언급했다. 이어 “모든 이해관계자가 참여해 능동적이고 적극적으로 대응하는 게 공급망 보안”이라며 “한 개인이나 기업 문제가 아니다”라고 덧붙였다.