레드펜소프트, SW 공급망 보안 플랫폼 '엑스스캔 시큐어 에셋' 출시

[서울=뉴시스]윤정민 기자 = 소프트캠프 자회사 레드펜소프트가 소프트웨어 개발부터 운영 단계까지 공급망 보안을 통합 관리하는 신규 솔루션을 선보였다. 오픈소스 취약점 점검 중심이던 소프트웨어 공급망 보안 수요가 실제 운영 서버와 실행 환경의 보안 가시성 확보로 확대되는 데 대응하기 위한 제품이다.

레드펜소프트는 1일 신규 솔루션 '엑스스캔(XSCAN) 시큐어 에셋’을 출시했다고 밝혔다.

이 솔루션은 개발·반입·운영 단계에서 발생하는 소프트웨어 자산과 보안 정보를 하나의 워크플로우로 통합 관리하는 오픈소스 자산관리 플랫폼이다.

기업이 개발 단계에서 확인한 소프트웨어 구성요소와 실제 운영 서버에 배포·실행 중인 구성요소가 일치하는지 확인하고 알려진 취약점이 운영 환경에 실제 영향을 미치는지 판단할 수 있도록 지원한다.

최근 소프트웨어 공급망 보안은 단순한 오픈소스 취약점 점검을 넘어 소프트웨어가 개발되고 외부에서 반입되며 운영 서버에서 실행되는 전 과정의 신뢰성을 확보하는 방향으로 확대되고 있다.

외부 소프트웨어는 내부 시스템 설치, 운영 서버 배포, 실행 환경 변경 등을 거치기 때문에 개발 단계의 점검만으로는 실제 보안 위험을 파악하기 어렵다는 지적이 나온다.

특히 최근에는 오픈소스 사용 확대와 클라우드·컨테이너 기반 개발 환경 확산으로 기업이 관리해야 할 소프트웨어 구성요소가 빠르게 늘고 있다. 개발 단계에서 취약점을 점검하더라도 실제 운영 서버에 배포된 버전이나 구성요소가 달라질 수 있어 개발 산출물과 운영 환경을 연계해 추적하는 체계가 중요해지고 있다.

이에 따라 소프트웨어 구성요소를 식별하는 '소프트웨어 자재명세서(SBOM)', 취약점의 실제 영향 여부를 판단하는 'VEX', 운영 환경에서 실제 배포·실행 중인 구성요소를 확인하는 '디플로이드 SBOM'과 '런타임 SBOM' 중요성이 커지고 있다.

레드펜소프트는 이러한 시장 변화에 맞춰 엑스스캔 제품군 포트폴리오도 재정비했다. 개발·반입 소프트웨어 공급망 검증을 담당하는 '엑스스캔 서플라이 체인', 운영 서버 자산과 실행 환경의 보안 가시성을 확보하는 '엑스스캔 서버 런타임', 개발·반입·운영 환경을 하나의 워크플로우로 통합하는 '엑스스캔 시큐어 에셋'으로 제품 체계를 다각화했다.

배환국 레드펜소프트 대표는 "소프트웨어 공급망 보안은 더 이상 특정 개발 단계에 국한된 문제가 아니라 기업이 사용하는 모든 소프트웨어 자산의 신뢰성과 운영 안정성을 확보하는 핵심 과제로 확대되고 있다"며 "앞으로도 파트너사와의 기술적·영업적 협력을 강화하고 개발·반입·운영환경을 아우르는 통합 소프트웨어 공급망 보안 시장을 함께 확대해 나가겠다"고 말했다.


◎공감언론 뉴시스 [email protected]