소프트캠프 자회사 레드펜소프트, SW 공급망 보안 서비스 ‘XSCAN’ 클라우드 시장 정조준

클라우드 컨테이너 이미지 스캐닝 및 분석 기능 출시
생성형 AI 연계 분석 기능 컨테이너 이미지 분석 확장 적용

[보안뉴스 이소미 기자] 제로 트러스트 기반 정보보안 전문기업 소프트캠프(대표 배환국)의 자회사 레드펜소프트(대표 배환국)는 소프트웨어(SW)  공급망 보안 솔루션 ‘XSCAN(엑스스캔)’에 클라우드 컨테이너 이미지의 스캐닝 및 분석 기능을  출시했다. 

[로고=엑스스캔]

점점 더 많은 조직이 클라우드 환경으로 이행함에 따라 상용 공급업체, 맞춤형 소프트웨어 및 오픈소스 소프트웨어 등 수많은 구성요소로 컨테이너화된 소프트웨어의 복잡성은 잠재적인 위협과 취약점의 원천이 된다. 보안 위협에 취약한 베이스 이미지와 악의적인 이미지 변경, 그리고 노출된 비밀키 등은 클라우드 환경 사이버 공격의 주 원인이 되고 있다.  
 
XSCAN은 클라우드 기반으로 소프트웨어 전달 및 검증 체계를 구현한 소프트웨어 공급망 위협 대응 서비스다. 컨테이너 이미지의 투명한 가시성 확보를 위해 컨테이너 이미지를 구성하는 레이어(Layer) 및 패키지를 구성하는 제반 아티팩트(산출물)를 표준 소프트웨어 구성 명세서인 SBOM(Software Bill of Materials)으로 생성해낸다.  
 
컨테이너 이미지에 활용된 오픈소스 라이브러리 및 해당 취약점과 라이선스 이슈도 추적해낸다. 이미 공격 피해가 발생해 알려진 악용된 취약점 KEV(Known Exploited Vulnerability)와 공격당할 가능성이 매우 높은 취약점 HEV(Highly Exploitable Vulnerability) 정보를 제공해 취약점 대응의 우선순위를 설정할 수 있다.  

또한, API 키 등 컨테이너 이미지에 노출된 비밀은 중대한 침해로 이어질 수도 있다. XSCAN은 컨테이너 이미지에 포함된 비밀 데이터 정보(시크릿 오브젝트)도 찾아준다.  기존 XSCAN이 가지고 있던 생성형 AI 연계 기능을 컨테이너 이미지 분석에도 확장해 컨테이너 이미지의 각 레이어에 포함된 명령어의 목적과 기능을 알기 쉽게 해석해 준다.   
 
레드펜소프트 전익찬 부대표는 “정부의 SW 공급망 보안 가이드라인의 공식 발표와 더불어 SBOM 도구 시장이 본격 개화할 것으로 전망한다”며,  “금번 컨테이너 이미지 스캐닝 및 분석 기능 출시를 통해 클라우드로의 이행을 고민하는 고객분들께 새로운 가치를 제공할 수 있게 됐다”고 말했다. 
 
컨테이너가 표준 애플리케이션 제공 형식인 클라우드 네이티브 환경에서는 코드가 자주 업데이트되고 구성의 오류 등 보안 취약점은 언제나 발생할 수 있다. 따라서 레드펜소프트는 향후 컨테이너 이미지의 분석 기능을 개발 파이프라인에 통합하는 기능을 선보일 계획이다.  
  
지난해 XSCAN을 출시한 레드펜소프트는 금융·공공·기업 등에 레퍼런스를 확보하고 현재 공인된 파트너사들과 함께 다수의 POC를 진행하고 있다. 또한 지난 4월에 도쿄에서 열린 JAPAN IT Week Spring에 모회사인 소프트캠프와 함께 참여해 해외시장 진출의 가능성도 모색했다.

한편, 소프트캠프는 보안뉴스·시큐리티월드가 선정한 2023 Global Security TOP 100 기업이다. Global Security TOP 100은 물리보안 분야와 사이버보안 분야를 모두 포함해 2023년 한 해 동안 국내외에서 △매출 △성장 속도 △기술력 △혁신성 △지속가능성 등에서 우수한 평가를 받아 선정됐다.
[이소미 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)