[2024 하반기 정보보호제품 혁신대상]정보·물리보안-스패로우 'Sparrow SAST'

Photo Image

스패로우의 '스패로우(Sparrow) SAST'는 소스코드 보안약점 분석도구다. 세계적으로 소프트웨어(SW) 공급망 공격 위협이 있어 코드 품질과 보안성 향상을 통한 안전한 SW 개발에 필수적인 솔루션으로 평가받고 있다.

미국의 솔라윈즈 사태와 로그4제이(Log4j) 취약점 발견 등으로 SW 공급망 공격 심각성이 대두됐다. SW 공급망 공격은 개발사로부터 최종 이용자에게 배포되는 공급망을 타고 연쇄적인 피해를 일으키기 때문에 치명적이다. 이에 정부는 'SW 공급망 보안 가이드라인'을 마련하며, 개발사에서 SW 취약점을 최소화해 보안이 잘 갖춰진 SW를 제작할 것을 강조하고 있다.

Sparrow SAST는 소스코드에 잠재하는 보안 약점을 SW 보안 약점 진단 가이드, 전자금융감독규정, CWE 등 국내외 주요 점검 기준으로 분석해 해결 방안을 제공한다. C, C++, 자바(Java), 코틀린(Kotlin), 고(Go) 등 20개 이상의 주요 프로그래밍 언어와 전자정부 표준 프레임워크, 스프링 프레임워크 등 10개 이상의 프레임워크를 지원한다.

개발자 편의를 고려해 취약점 조치 방안도 상세히 제공한다. 또 형상 관리 도구와 연동해 개발자가 안전한 코드만 반영하도록 소스코드 자동 점검 시스템을 구축할 수 있으며, 최종 릴리즈 전에는 보안 담당자가 전수 분석으로 SW 안전성과 보안성을 높일 수 있다.

특히 Sparrow SAST는 오픈소스 관리 도구인 Sparrow SCA와 함께 단일 플랫폼 내에서 사용할 수 있어 SW 공급망 공격 예방에 효과적이다. 한 번의 분석으로 자체 개발한 소스코드뿐만 아니라 사용 중인 오픈소스에 존재하는 취약점도 식별할 수 있다. 점검 결과를 통합 관리해, 보안 리스크도 줄여 준다.

장일수 스패로우 대표는 “이번 수상은 애플리케이션 보안을 넘어 SW 공급망 보안 관리 체계 구축을 위한 스패로우의 기술력을 인정받은 결과”라며 “시큐어 코딩 도구를 포함한 다양한 애플리케이션 보안 테스팅 도구를 혁신해 안전하고 신뢰할 수 있는 공급망을 형성할 수 있도록 적극 지원하겠다”고 말했다.

Photo Image
장일수 스패로우 대표.(스패로우 제공)

조재학 기자 2jh@etnews.com


브랜드 뉴스룸