스패로우가 SW 공급망 보안을 강화하는 자사 오픈소스 라이센스 식별 및 보안 취약점 관리 도구인 ‘스패로우 SCA(Sparrow SCA)’에 SW 자재 명세서(Software Bill of Materials, SBOM) 내보내기 기능을 탑재해 제공한다.
스패로우는 이를 통해 SW 구성 요소를 쉽게 파악할 수 있게 만들어 SW 공급망 보안을 강화한다는 계획이다.
스패로우가 제공하는 SBOM은 유통되는 식품에 사용된 구성 성분을 표시하는 식품 원재료표와 유사한 개념으로, SW를 구성하는 요소를 정리한 목록이다. 최근 전 세계적으로 큰 보안 위협이 된 Log4j와 Spring4Shell과 같은 취약점 발견에 따라, 사용 중인 오픈소스의 출처를 쉽고 간편하게 확인할 수 있는 SBOM 기능이 주목받고 있다.
특히 미국 바이든 행정부가 작년 5월 발표한 행정 명령에서 SBOM 도입 의무화를 명시한 바 있으며, 미국 뿐 아니라 글로벌 선도 기업 및 기관들 또한 SBOM을 도입해 SW 공급망 취약점으로 인한 보안 위협을 최소화하고 있다.
사용자는 오픈소스 관리 도구인 스패로우 SCA로 파일을 분석한 후에 SBOM 내보내기 버튼을 클릭하기만 하면 컴포넌트 명칭과 버전 정보, 공급자 명칭 등을 한눈에 확인할 수 있다. SW 공급망 위험에 대한 가시성을 확보함으로써 라이선스 관리는 물론 보안 취약점 발견 시 업데이트가 가능하다.
한편, 스패로우 SCA는 소스코드나 바이너리에 포함된 오픈소스를 진단해 라이선스 관련 정보 및 발견된 취약점 정보를 제공하는 오픈소스 관리 솔루션으로 한국정보통신기술협회로부터 GS 인증을 받았다. 현재 ‘2022년 ICT 중소기업 정보 보호 지원사업’을 통해서도 제공하고 있어 보안 예산이 적은 중소기업에서는 정부지원금 혜택도 받을 수 있다.
