스패로우는 지난 29일 양재 엘타워에서 열린 '파워 유저 컨퍼런스 2022(PUC 2022)'를 성료했다고 30일 밝혔다.

PUC 2022는 다양한 산업군 내 고객들을 대상으로 애플리케이션 보안 테스팅 트렌드와 기술 및 사례를 공유하는 스패로우 연례 고객 초청 행사다. 올해는 '소프트웨어 공급망 보안을 위한 유일한 방법'을 주제로 주요 보안 이슈와 함께 스패로우 제품 전략 등을 소개했다.

장일수 스패로우 대표는 키노트를 통해 애플리케이션 보안을 위한 오케스트레이션의 필요성을 강조했다. 장 대표는 "소프트웨어 개발 전 과정에서 보안을 강화하기 위해서는 각 단계에 적합한 애플리케이션 보안 도구를 사용하는 것을 넘어 프로세스 전체를 자동으로 진행하는 오케스트레이션이 필요하다"며 "스패로우가 제공하는 시큐어코딩(SAST), 웹취약점진단(DAST), 오픈소스관리(SCA) 등 애플리케이션 보안 도구를 활용하면 전 과정에서 분석력을 극대화할 수 있다"고 설명했다.

이어진 발표 세션에서는 윤종원 스패로우 수석이 '통합 스패로우'를 소개하며 향후 제품 방향성을 공개했다. 통합 스패로우는 스패로우가 제공하는 개별 솔루션들을 하나로 통합한 제품으로 구축, 운영 및 관리 부담을 줄여 손쉽게 데브섹옵스(DevSecOps)를 실현하도록 돕는다. 주요 기능으로 ▲'TypeScript', 'Go' 등 시큐어코딩 지원 언어 추가 ▲동적 분석 시 소스코드 내 관련 위치 검출 ▲실행 시간 애플리케이션 이상행위 탐지 기술 제공 등이 있다. 이를 통해 스패로우는 애플리케이션을 모든 단계에서 보호할 수 있도록 지원할 예정이다.

김성운 스패로우 부장은 '복잡한 오픈소스를 관리하는 가장 쉬운 방법'을 주제로 국내외 오픈소스 활용 현황을 공유하고 오픈소스 관리 방안을 제시했다. 그는 '로그4제이(Log4j)' 보안 취약점 발견으로 대두된 오픈소스 취약점은 소프트웨어 공급망 공격으로 이어질 수 있어 철저한 관리가 필요하다고 강조했다. 또 이를 위한 솔루션으로 '소프트웨어 자재명세서(SBOM)' 기능을 제공하는 '스패로우 SCA'를 소개했다.

장일수 스패로우 대표는 "시장에서 도구 통합을 통한 문제해결 요구는 꾸준히 제기돼왔지만, 현실적으로 각기 다른 제조사 도구가 연동되기 어려웠다"며 "모든 개발, 운영 단계 분석 제품들을 자사 기술로 개발한 통합 스패로우 제품은 현실적 한계를 극복하고 완벽한 데브섹옵스 환경을 제공할 것"이라고 말했다.

김가은 기자 7rsilver@techm.kr