소프트캠프 자회사 레드펜소프트는 소프트웨어 개발부터 운영까지 공급망 보안 전 주기를 하나의 워크플로우로 통합 관리하는 새로운 솔루션 'XSCAN 시큐어 에셋(XSCAN Secure Asset)'을 출시했다고 1일 밝혔다.
외부에서 반입된 소프트웨어는 내부 시스템에 설치되고 운영 서버에 배포되며, 실제 실행환경에서 지속적으로 변경되기 때문에 전 과정에 걸친 통합적인 보안 관리가 요구된다는 게 소프트캠프의 설명이다. 이에 최근 기업의 소프트웨어 공급망 보안에 대한 관심은 단순한 오픈소스 취약점 점검을 넘어 소프트웨어가 개발되고 외부에서 반입되며 운영 서버에서 실행되는 전 과정의 신뢰성을 확보하는 방향으로 나아가고 있다.
이에 따라 기업은 개발 시점의 구성요소와 운영 중인 서버의 실제 구성요소가 일치하는지, 알려진 취약점이 실제 운영환경에서 영향을 미치는지, 어떤 서버 자산이 위험에 노출되어 있는지 등을 판단해야 한다. 그 결과 소프트웨어 구성요소를 식별하는 SBOM(소프트웨어 구성요소 명세서), 취약점의 실제 영향 여부를 판단하는 VEX(취약점 익스플로잇 가능성 정보) 등의 중요성이 커지고 있다.
레드펜소프트는 이런 흐름에 맞춰 XSCAN 제품군 구성을 다각화했다. 개발·반입 소프트웨어 공급망 검증을 담당하는 'XSCAN 서플라이 체인', 운영 서버 자산과 실행환경의 보안 가시성을 확보하는 'XSCAN 서버 런타임', 개발·반입·운영환경을 하나의 워크플로우로 통합하는 오픈소스 자산관리 플랫폼 'XSCAN 시큐어 에셋'이다.
배환국 레드펜소프트 대표는 "소프트웨어 공급망 보안은 더 이상 특정 개발 단계에 국한된 문제가 아니라, 기업이 사용하는 모든 소프트웨어 자산의 신뢰성과 운영 안정성을 확보하는 핵심 과제로 확대되고 있다"고 말했다.