레드펜소프트, 공급망 보안 전 주기 묶은 XSCAN Secure Asset 공개

• 레드펜소프트가 2026 상반기 기술 파트너 세미나에서 XSCAN Secure Asset을 공식 출시함

  • 개발부터 운영까지 소프트웨어 공급망 보안 전 과정을 하나의 워크플로우로 통합 관리하는 솔루션이라고 소개됨
  • 단순히 오픈소스 취약점만 보는 제품이 아니라, 반입 소프트웨어와 운영 서버 자산까지 같이 보겠다는 쪽에 가까움

• 요즘 공급망 보안의 관심사는 “취약한 라이브러리 있냐”에서 “그게 실제 운영에 영향을 주냐”로 이동 중임

  • 개발 시점의 구성요소와 운영 서버의 실제 구성요소가 일치하는지 확인해야 함
  • 취약점이 있어도 실제 실행 경로나 배포 환경에서 영향이 없는지 따져봐야 해서 VEX 같은 정보가 중요해짐
  • 운영 중인 구성요소를 보는 Deployed SBOM, Runtime SBOM까지 언급된 걸 보면 제품 방향이 꽤 운영 보안 쪽으로 붙어 있음

• XSCAN 제품군은 세 갈래로 정리됨

  • XSCAN Supply Chain은 개발·반입 소프트웨어의 공급망 검증을 맡음
  • XSCAN Server Runtime은 운영 서버 자산과 실행환경의 보안 가시성을 확보하는 쪽임
  • XSCAN Secure Asset은 개발, 반입, 운영환경을 하나의 오픈소스 자산관리 워크플로우로 묶는 플랫폼 역할을 함

• 레드펜소프트는 이번 세미나를 파트너사와 시장 전략을 공유하는 자리로 봤음

  • 배환국 대표는 SBOM 기반 공급망 보안 시장 전략과 XSCAN 제품군의 비전을 공유했다고 설명함
  • 앞으로도 파트너사와 기술·영업 협력을 통해 통합 소프트웨어 공급망 보안 시장을 넓히겠다는 입장임

---

기술 맥락

• 예전 오픈소스 보안 점검은 빌드 시점에 패키지 목록을 뽑고 취약점 DB와 대조하는 방식이 많았어요. 그런데 운영 서버에 실제로 배포된 구성은 개발 단계의 목록과 다를 수 있어서, 그 차이를 못 보면 위험 판단이 엉뚱해질 수 있어요.

• SBOM은 구성요소를 식별하는 기준점이고, VEX는 그 취약점이 실제로 영향이 있는지 설명하는 보조 정보예요. 둘을 같이 봐야 보안팀이 모든 취약점 알림에 똑같이 반응하지 않고, 실제 조치가 필요한 항목에 집중할 수 있거든요.

• Runtime SBOM이나 Deployed SBOM이 중요한 이유는 운영 환경의 현실을 반영하기 때문이에요. 개발팀이 올린 산출물과 운영 서버에서 실행 중인 바이너리, 컨테이너, 라이브러리 구성이 어긋나면 공급망 보안은 문서상으로만 맞는 상태가 돼요.

• 이번 제품 발표의 포인트는 새로운 약어 하나가 아니라, 개발·반입·운영을 끊어서 보던 흐름을 하나로 이어 보겠다는 데 있어요. 국내 기업도 규제 대응이나 고객사 보안 요구 때문에 이런 통합 가시성을 점점 더 요구받게 될 가능성이 커요.