[솔루션 리뷰] '스패로우 엔터프라이즈' "AI 기반 최적 ASPM"

현대 애플리케이션 환경은 클라우드 컴퓨팅과 데브섹옵스(DevSecOps)로 급격히 변화하고 있으며, 동적 인프라와 마이크로서비스 아키텍처가 일반화됐다.

'데브섹옵스(DevSecOps)'는 Development(개발)+Security(보안)+Operations(운영)의 합성어로, 소프트웨어 개발 과정에 보안을 처음부터 끝까지 통합하는 접근 방식을 말한다.

업계 전문가들은 이런 환경 변화로 조직은 ▲확장된 공격 표면 ▲가속화된 개발 주기 ▲다양한 보안 도구의 과잉 현상 ▲증가하는 컴플라이언스 요구사항 등의 심각한 도전에 직면해 있다. 이에, 기업들은 복잡한 애플리케이션 생태계 전반에 걸친 통합 가시성, 위험 기반 우선순위 지정, 개발-보안-운영팀 간 원활한 협업 체계가 절실히 필요하다.

현대 애플리케이션 보안 핵심, ASPM

29일, 관련업계에 따르면, 이런 시장에 대응하기 위해 스패로우(대표 장일수)는 애플리케이션 보안 태세를 관리할 수 있는 ASPM(application Security Posture Management) 제품(솔루션)으로 '스패로우 엔터프라이즈(Sparrow Enterprise)'를 개발, 시장에 공급하고 있다.

2023년 6월 출시한 이 제품은 다양한 애플리케이션 보안 테스팅 도구들을 하나의 시스템에서 사용하고 취약점 점검 결과를 통합 관리할 수 있는 플랫폼이다. 사내에서 개별적으로 도구들을 운영하며 취약점을 진단했던 기업에서는 '스패로우 엔터프라이즈'를 활용해 개발부터 운영까지 이어지는 보안 취약점 점검 프로세스를 자동화할 수 있다. 도 제공되는 취약점 해결 방안을 기반으로 소프트웨어의 안전을 확보할 수 있다

스패로우가 제공하는 SAST(Static application Security Testing), SCA(Software Composition Analysis), DAST(Dynamic application Security Testing) 등 다양한 보안 테스팅 도구를 단일 플랫폼에서 통합했다.

특히 컨텍스트 기반 우선순위 지정, 맞춤형 워크플로를 통한 팀 간 협업 강화를 제공, 조직의 전체 애플리케이션 보안 태세를 혁신적으로 향상시키는데에 기여하고 있다는게 회사 설명이다. 공공시장의 필수 인증인 굿소프트웨어(GS) 인증 1등급도 2023년 10월 획득했다. GS인증은 소프트웨어 품질을 증명하는 제도로, 국제표준화기구(ISO)가 정한 국제표준을 기반해 소프트웨어 안전성, 기능성, 신뢰성, 보안성 등의 항목을 점검해 인증 마크를 부여한다.

통합 가시성 확보

일반적으로 안전한 소프트웨어 개발을 위해서는 복잡한 규제 준수를 위해 다수의 보안 도구를 운영한다. 또 결과 통합에 많은 인력과 시간을 투입하고 있으며, 개인정보보호 및 공급망 보안을 위한 조치가 단계에 따라 개별적으로 수행되고 있다. 이 과정에서 소스코드 분석, 구성요소 분석, 웹 취약점 분석을 별도 시스템에서 개별적으로 수행하며, 취약점 수정 후 모든 분석을 처음부터 반복하는 작업이 이뤄지며, 이로 인해 도구 간 결과 통합과 추적에 많은 양의 수작업이 필요한 실정이다.

'스패로우 엔터프라이즈'는 이러한 작업을 효과적으로 지원하기 위해 분산된 여러 보안 도구의 결과를 단일 대시보드에서 통합 관리하고, 사용자별 대시보드를 구성해 제공하고 있다. 이를 활용해 전체 프로젝트의 보안 상태를 한눈에 파악할 수 있다. 또 Git 리포지토리부터 CI(Continuous Integration)/CD(Continuous Deployment)에 이르는 개발 관련 시스템과 원활하게 연동하고 분석 결과를 실시간으로 확인할 수 있는 점도 장점이다.

스패로우 엔터프라이즈 분석 기능 이미지.

특히 소스코드 분석, 오픈소스 분석, 웹 취약점 분석 등 다양한 보안 테스팅 기능을 하나의 플랫폼에서 실행하고 통합 관리할 수 있다. 또 자동화된 파이프라인 통합으로 개발 초기 단계부터 지속적인 보안 검증이 가능하다. 회사는 "스패로우의 통합 보안 테스팅 도구를 통해 시스템 운영에 소모되는 리소스를 감소시킬 수 있으며 애플리케이션 개발부터 운영 단계까지 SDLC 모든 단계에 걸쳐 필요한 조치를 수행할 수 있다"면서 "결론적으로, 스패로우 엔터프라이즈는 기존의 분산되고 비효율적인 보안 도구 운영 방식의 한계를 극복하고, 현대적인 소프트웨어 개발 환경에서 요구되는 통합적인 보안 관리 솔루션을 제공한다.

이러한 통합적 접근을 통해 조직은 기존에 다수의 개별 도구 운영에 소모되던 인적, 물적 리소스를 대폭 절감하면서도 보안 품질은 향상시킬 수 있으며, 개발 생산성과 보안성을 동시에 확보하는 균형 잡힌 소프트웨어 개발 체계를 구축할 수 있다"고 강조했다.

조직 간 원활한 협업 지원

마이크로서비스 아키텍처와 컨테이너, 클라우드 네이티브 기술 도입으로 현대 소프트웨어 시스템의 복잡성이 급격히 증가했다. 이에, 많은 조직들이 분산된 다수의 시스템, 서비스, 그리고 모듈에서 검출되는 보안 취약점들의 체계적인 추적과 관리에 상당한 어려움을 겪고 있는 실정이다.

특히 각기 다른 기술 스택과 배포 환경을 가진 수십, 수백 개의 마이크로서비스들이 독립적으로 운영되는 환경에서는 취약점 발견과 조치 계획 수립과 공유, 수정 사항 검증이 기존의 모놀리식 아키텍처 대비 훨씬 복잡하고 시간 소모적인 과정이 됐다.

더불어 조직 내 여러 개발팀과 운영팀 간에 일관된 보안 정책과 표준을 적용하고 유지하는 것 또한 큰 도전과제로 대두됐다. 이에, 보안 거버넌스 공백이 발생하고 전체적인 보안 태세의 가시성 확보가 어려워진 상황에 직면했다. 또 이런 복잡성은 결국 보안 사고 대응 시간 지연과 잠재적 보안 위험 증가로 이어질 수 있다. 이에, 조직 차원에서의 통합적이고 자동화된 보안 관리 솔루션 필요성이 더욱 절실해졌다.

스패로우 엔터프라이즈 대시보드.

'스패로우 엔터프라이즈'는 개발 조직과 보안 조직을 비롯한 다양한 조직이 단일 플랫폼에서 협업하며 각자의 영역에 맞는 작업을 수행할 수 있게 다양한 관리 기능을 제공한다. 프로젝트 중요도와 시스템 특성에 따른 맞춤형 관리 체계를 구축할 수 있게 프로젝트 및 정책 관리 기능을 제공하며, 담당자별 작업 할당과 진행 상황 추적, 이력 관리 기능을 통해 효율적인 취약점 관리가 가능하다. 또 프로젝트나 이슈 특성에 맞춘 맞춤형 결재 프로세스로 유연한 제외 정책 관리도 가능하다.

결론적으로, 현대 소프트웨어 개발 환경의 복잡성 증가에 대응하기 위해서는 기존의 파편화된 보안 도구 운영 방식에서 벗어나 통합적이고 자동화된 보안 관리 플랫폼으로의 전환이 필수적이다. '스패로우 엔터프라이즈'는 이러한 시대적 요구에 부응해 다양한 조직이 하나의 통합된 플랫폼에서 각자의 전문성을 발휘하며 효과적으로 협업할 수 있는 환경을 제공하고 있다.

AI기술 활용 최적 보안 취약점 조치 방안 적용

보안 테스팅 도구를 활용하는데에 직면하는 대표적 어려움은 식별된 수많은 보안 취약점에 대한 체계적인 조치 계획을 수립하고 실질적인 해결 방안을 마련하는 일이다. 실제로 대규모 엔터프라이즈 환경에서는 하루에도 수백, 수천 개의 조치가 필요한 취약점이 발견되는 것이 일상이다.

현실적으로 보안 담당자는 단순히 취약점을 확인하는 것을 넘어, 각 취약점의 특성과 시스템의 구조적 특징, 포함된 자산의 현황 등 복합적인 변수들을 동시에 고려해야 한다. 수많은 보안 취약점에 대해 이와 같은 다차원적 분석과 의사결정을 일관성 있게 수행하는 것은 경험이 풍부한 전문가에게도 결코 쉬운 일이 아니다.

스패로우는 이러한 현실적 과제를 해결하기 위해 AI 기술을 활용한 혁신적 접근법을 솔루션에 적용하는 연구 개발을 진행하고 있다. 핵심은 식별된 시스템의 고유한 특성과 발견된 보안 취약점들을 종합적으로 분석해 최적화된 조치 방안을 자동으로 제안하는 것이다.

스패로우 엔터프라이즈 정책 기능 이미지

'조치 방안 자동 제안 기술'은 취약점과 관련한 다양한 변수들을 종합적으로 고려해 시스템의 어떤 부분부터 우선적으로 조치해야 하는지 명확한 대상 선정과 함께 조치 우선순위를 제시하는 기술이다. 나아가 각 보안 취약점별로 구체적이고 실행 가능한 조치 방법을 상세히 안내해 개발자와 보안 담당자가 즉시 실무에 적용할 수 있게 해준다. 스패로우는 이를 기반으로 단순한 알고리즘 기반 우선순위 결정을 넘어, AI를 활용해 대규모 취약점 특징, 시스템 환경과 비즈니스 영향도 등 다양한 변수들을 종합적으로 고려함으로써 훨씬 정교하고 상황에 맞는 지능적 의사결정을 지원할 수 있다고 설명했다.