스패로우 취약점 분석도구, 2년 연속 공공조달 1위

파수 는 자회사 스패로우의 소프트웨어 취약점 분석도구 '스패로우 SAST·DAST·SCA'가 조달청 디지털서비스몰에서 2년 연속 판매 1위에 올랐다고 22일 밝혔다.

스패로우 SAST는 소스코드 보안취약점을 진단해 개발자가 소프트웨어 보안 가이드를 준수하도록 돕는다. 스패로우 DAST는 웹사이트에서 발생하는 취약점을 분석해 SQL 인젝션, XSS 등 공격을 예방한다. 스패로우 SCA는 오픈소스 취약점 정보를 제공해 안전한 버전으로 업데이트하도록 돕는다.

공공기관은 시큐어코딩이 의무화돼 소프트웨어 개발 단계에서 보안 약점을 제거해야 한다. 파수는 "최근 Log4j와 매직라인(MagixLine4NX) 등 보안취약점을 악용한 소프트웨어 공급망 공격이 잇따라 발생하며 오픈소스 관리·유통 전 과정에서의 소프트웨어 안전 확보의 중요성도 높아지고 있다"고 밝혔다.

미국·유럽연합에선 올해부터 공공기관에 ICT 제품을 공급할 때 SBOM(소프트웨어 자재명세서) 작성·제출이 의무화됐다. 한국에선 국가정보원·과학기술정보통신부가 SBOM 표준화를 비롯한 'ICT 공급망 보안 가이드라인'을 공개할 예정이다.