데이터 및 애플리케이션 거버넌스 전문 기업 지티원은 시큐어 코딩 도구 'SecurityPrism(시큐리티 프리즘)'에 소프트웨어 자재명세서(SBOM) 생성 기능을 탑재한 'SecurityPrism 4 SBOM'을 출시했다고 밝혔다.
2022년 미국은 소프트웨어 공급망의 투명성과 보안 강화를 위해 '국가 사이버보안의 개선에 관한 대통령 행정명령'을 발표했다. 이에 발맞춰, 국내에서도 국가정보원, 과학기술정보통신부, 디지털플랫폼정부위원회가 협력하여 2024년 5월 'SW 공급망 보안 가이드라인'을 발표한 바 있다.
이들 행정명령 및 가이드라인에 따르면, 소프트웨어 자재명세서(SBOM)는 공급망 보안을 위한 핵심 요소다. SBOM은 소프트웨어를 구성하는 오픈소스와 라이선스 정보, 구성요소 간 관계, 알려진 취약점 등의 정보를 포함하며, 보안 위험 요소를 사전에 식별하고 대응할 수 있도록 지원한다.
이수용 지티원 대표는 “SecurityPrism 4 SBOM은 국제 표준 형식인 SPDX, CycloneDX를 지원해 자재명세서를 자동 생성하며, 오픈소스 라이선스 종류 및 준수해야 할 의무사항을 안내한다”며 “또한 구성요소에 내포된 보안 취약점 정보를 제공해 선제적 보안 대응이 가능하다”고 말했다.
시큐리티 프리즘은 애플리케이션을 실행하지 않고도 소스 코드만을 정적 분석해 보안 취약점을 탐지하고, 안전한 코딩 가이드를 제공하는 시큐어 코딩 솔루션이다. 이 제품은 CC 인증과 CWE 호환성 인증을 획득해 기술적 신뢰성을 입증했다.
김정희 기자 jhakim@etnews.com
