검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'SW 공급망'통합검색 결과 입니다. (3건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

금보원, 금융권 SW 약점 찾아내는 플랫폼 가동

금융보안원이 이달 중으로 금융권 소프트웨어 공급망 보안 플랫폼을 본격 가동할 계획이다. SBOM(소프트웨어 자재 명세서) 기반으로 소프트웨어의 공급망 현황을 쉽게 파악해 공급망 공격으로부터 보안을 강화하겠다는 복안이다. 금융보안원은 지난달 30일 여의도 금융투자협회 불스홀에서 전 금융회사 보안 담당자가 참여한 '금융권 소프트웨어 공급망 보안 세미나'를 열고 '금융권 소프트웨어 공급망 보안 플랫폼'을 본격 가동할 계획이라고 2일 발표했다. 플랫폼은 소프트웨어 공급망 전반의 위협을 실시간으로 식별하는 보안 가시성을 확보하고, 선제적으로 위협에 대응할 수 있는 환경을 마련하겠다는 취지로 추진됐다. 플랫폼은 ▲금융권 취약점 통합관리 ▲SBOM 관리체계 ▲버그바운티(취약점 제보) 운영 효율화 기능 등을 제공한다. 먼저 소프트웨어 주요 취약점에 대해 보안 패치의 개발부터 적용까지 전 과정을 원스톱으로 지원한다. 플랫폼을 통해 통제된 방식으로 취약점 정보를 신속하게 공유하는 것이 가능해진다. SBOM 기반의 관리체계를 통해 새로운 취약점이 발견되면 금융권 영향을 신속하게 분석 및 대응할 수 있도록 지원하다. 취약점을 선제적으로 찾아내 조치하기 위해 버그바운티를 운영한다. 취약점 제보자에게 보상을 지급하고, 금융권 소프트웨어 '제로데이 취약점'도 식별하겠다는 구상이다. 이로써 보안 사각지대를 최소화하고 취약점 발굴 문화 활성화를 선도하겠다는 것이 금융보안원의 계획이다. 제로데이 취약점은 소프트웨어 개발사가 아직 인지하지 못했거나, 인지했더라도 패치나 해결책이 마련되기 이전인 상태의 취약점을 말한다. 공격자가 먼저 제로데이 취약점을 악용할 수 있기 때문에 위협적인 공격으로 꼽힌다. 한편 이날 개최된 세미나에서는 이정운 금융감독원 디지털리스크분석팀장이 '금융권 소프트웨어 취약점 관리 관련 감독 방향'을 주제로 발제에 나섰다. 이만희 한남대 컴퓨터공학과 교수는 생성형 인공지능(AI) 시대의 전반적인 공급망 보안 리스크에 대해 발표했다. 이 외에도 김규연 금융보안원 침해사고조사팀 수석이 '소프트웨어 공급망 침해사고 사례 및 대응 방안'을, 변진용 금융보안원 SW공급망보안팀 수석이 '금융권 소프트웨어 공급망 보안 플랫폼 소개'를 주제로 발표했다. 박상원 금융보안원장은 "플랫폼을 통해 금융회사는 자사 소프트웨어 취약점 현황 및 영향 범위를 한눈에 파악하고, 대응 우선 순위를 합리적으로 설정함으로써 취약점 관리의 효율성과 실효성을 한층 강화할 수 있을 것으로 기대한다"며 "향후에는 금융당국에서도 플랫폼을 통해 금융권 전반의 공급망 보안 현황을 종합적으로 파악하고 정책 수립 등에 활용할 수 있도록 플랫폼을 지속적으로 고도화해 나갈 것"이라고 밝혔다.

2026.02.02 15:28김기찬 기자

스패로우 앱 보안 테스팅 통합 솔루션, CC인증 획득

애플리케이션 보안 전문 기업 스패로우의 애플리케이션 보안 테스팅 통합 솔루션이 공통평가기준(CC)인증을 획득했다. 이를 통해 스패로우는 공공 및 국방 부문에서의 경쟁력을 키워나갈 계획이다. 11일 스패로우에 따르면 보안 테스팅 통합 솔루션 'Sparrow Enterprise v1.0'이 CC인증을 획득했다. 앞서 소스코드 보안약점 분석 도구인 Sparrow SAST/SAQT의 CC인증 획득에도 성공했던 만큼, 이번 인증 획득을 계기로 경쟁력을 한층 강화할 방침이다. CC인증은 제품의 보안성을 평가하는 국제 표준 평가 인증으로, Sparrow Enterprise는 EAL2(evaluation Assurance Levels) 등급을 획득했다. 엄격한 보안 요구사항과 제품의 안전성 기준을 충족한 것이다. 스패로우의 Sparrow Enterprise는 소스코드·오픈소스·웹 취약점을 단일 플랫폼에서 분석 및 통합 관리해 보안 상태를 한 눈에 파악할 수 있는 솔루션이다. 소프트웨어(SW) 개발 생명 주기 전반에 걸친 취약점 분석을 통해 SW 공급망 보안 위협에 선제적으로 대응할 수 있다. 뿐만 아니라 형상 관리 시스템이나 CI(Continuous Integration) 및 CD(Continuous Deployment) 도구와의 연동으로 분석을 자동화하고 분석 상태를 실시간으로 확인할 수 있다. 개발팀과 보안팀을 비롯한 여러 조직이 일관된 보안 정책을 기반으로 협업하고 맞춤형 취약점 관리 체계를 구축할 수 있다는 점도 강점으로 꼽힌다. 담당자별 작업 할당과 진행 상황 추적, 이력 관리 기능을 통해 취약점을 효율적으로 관리할 수 있는 것이다. 장일수 스패로우 대표는 "이번 CC인증 획득을 통해 Sparrow Enterprise의 기술력과 안전성이 공식적으로 입증됐다"며 "스패로우는 국방 및 공공기관이 안전한 SW 개발 환경을 구축해 증가하는 SW 공급망 보안 위협에 선제적으로 대응할 수 있도록 지원하겠다"고 강조했다. 한편 스패로우는 이번 CC인증을 기념해 다양한 혜택을 제공하는 프로모션도 준비 중인 것으로 전해졌다.

2025.08.11 16:50김기찬 기자

스패로우, SBOM도구에 AI 입혔다…코드 자동 생성

애플리케이션 보안 기업 스패로우(대표 장일수)가 소프트웨어(SW) 공급망 보안에 필요한 소프트웨어 자재 명세서(SBOM·Software Bill of Materials)에 인공지능(AI) 기능을 더했다고 밝혔다. 장일수 스패로우 대표는 22일 서울 여의도 페어몬트앰버서더호텔에서 열린 고객 초청 사업 설명회 '파수 디지털 인텔리전스 심포지움(FDI)'에서 이같이 발표했다. 스패로우는 파수 자회사다. 장 대표는 “AI 기능을 가진 제품을 곧 출시하겠다”며 “코드를 자동으로 만들고, 정탐율을 최고로 끌어올리고, 어떤 취약점부터 우선 조치할지 우선순위 매기고, 취약점을 설명하는 보고서를 자동으로 쓰는 기능을 갖췄다”고 말했다. 장 대표는 “SBOM을 '생성-보강-검증-공유-검토'하는 단계로 관리해야 한다”며 “사람이 하나하나 손보려면 비효율적이라 도구가 필요하다”고 설명했다. 그러면서 '스패로우 엔터프라이즈'를 소개했다. 장 대표는 “SBOM을 만들어 등록하고 공유하면서 관리해야 한다”며 “스패로우는 한 번 만들고 끝나는 게 아니라 지속적으로 상호 검토해 새로운 취약점이 나오면 운영자와 개발자에게 알려 빠르게 조치하도록 돕는다”고 강조했다. 그는 “침해 사고가 아예 안 일어날 수는 없다”며 “어제 취약점이 아니었던 게 오늘은 취약점이 될 수 있으니 계속 관리해야 한다”고 주장했다. 또 “스패로우는 데이터에 기반해 알맞은 수정 방안을 제시한다”며 “문제 유형을 자동으로 나누고, 사람 실수와 반복 작업을 최소화하도록 지원한다”고 했다. 장 대표는 효율적으로 투자하는 법도 귀띔했다. 그는 “생성하려면 대량언어모델(LLM)을 써야 한다”면서도 “분류하는 데에는 기존 머신러닝과 딥러닝으로 충분해 보안과 비용 문제를 해결할 수 있다”고 언급했다. 이어 “모든 이해관계자가 참여해 능동적이고 적극적으로 대응하는 게 공급망 보안”이라며 “한 개인이나 기업 문제가 아니다”라고 덧붙였다.

2025.04.23 11:55유혜진 기자