--- title: "레드펜소프트, 공급망 보안 전 주기 묶은 XSCAN Secure Asset 공개" published: 2026-06-01T08:56:03.011Z canonical: https://jeff.news/article/3552 --- # 레드펜소프트, 공급망 보안 전 주기 묶은 XSCAN Secure Asset 공개 레드펜소프트가 2026 상반기 기술 파트너 세미나에서 XSCAN Secure Asset을 공식 공개했어. 개발 단계의 구성요소 점검부터 외부 반입 소프트웨어 검증, 운영 서버의 실제 실행 구성요소 확인까지 하나의 워크플로우로 묶겠다는 방향이 핵심이야. - 레드펜소프트가 2026 상반기 기술 파트너 세미나에서 `XSCAN Secure Asset`을 공식 출시함 - 개발부터 운영까지 소프트웨어 공급망 보안 전 과정을 하나의 워크플로우로 통합 관리하는 솔루션이라고 소개됨 - 단순히 오픈소스 취약점만 보는 제품이 아니라, 반입 소프트웨어와 운영 서버 자산까지 같이 보겠다는 쪽에 가까움 - 요즘 공급망 보안의 관심사는 “취약한 라이브러리 있냐”에서 “그게 실제 운영에 영향을 주냐”로 이동 중임 - 개발 시점의 구성요소와 운영 서버의 실제 구성요소가 일치하는지 확인해야 함 - 취약점이 있어도 실제 실행 경로나 배포 환경에서 영향이 없는지 따져봐야 해서 `VEX` 같은 정보가 중요해짐 - 운영 중인 구성요소를 보는 `Deployed SBOM`, `Runtime SBOM`까지 언급된 걸 보면 제품 방향이 꽤 운영 보안 쪽으로 붙어 있음 > [!NOTE] > 공급망 보안에서 진짜 골치 아픈 지점은 “스캔 결과에 취약점이 떴다”가 아니라 “이게 지금 운영 서버에서 실제로 터질 수 있냐”를 판단하는 부분임. - XSCAN 제품군은 세 갈래로 정리됨 - `XSCAN Supply Chain`은 개발·반입 소프트웨어의 공급망 검증을 맡음 - `XSCAN Server Runtime`은 운영 서버 자산과 실행환경의 보안 가시성을 확보하는 쪽임 - `XSCAN Secure Asset`은 개발, 반입, 운영환경을 하나의 오픈소스 자산관리 워크플로우로 묶는 플랫폼 역할을 함 - 레드펜소프트는 이번 세미나를 파트너사와 시장 전략을 공유하는 자리로 봤음 - 배환국 대표는 SBOM 기반 공급망 보안 시장 전략과 XSCAN 제품군의 비전을 공유했다고 설명함 - 앞으로도 파트너사와 기술·영업 협력을 통해 통합 소프트웨어 공급망 보안 시장을 넓히겠다는 입장임 --- ## 기술 맥락 - 예전 오픈소스 보안 점검은 빌드 시점에 패키지 목록을 뽑고 취약점 DB와 대조하는 방식이 많았어요. 그런데 운영 서버에 실제로 배포된 구성은 개발 단계의 목록과 다를 수 있어서, 그 차이를 못 보면 위험 판단이 엉뚱해질 수 있어요. - SBOM은 구성요소를 식별하는 기준점이고, VEX는 그 취약점이 실제로 영향이 있는지 설명하는 보조 정보예요. 둘을 같이 봐야 보안팀이 모든 취약점 알림에 똑같이 반응하지 않고, 실제 조치가 필요한 항목에 집중할 수 있거든요. - Runtime SBOM이나 Deployed SBOM이 중요한 이유는 운영 환경의 현실을 반영하기 때문이에요. 개발팀이 올린 산출물과 운영 서버에서 실행 중인 바이너리, 컨테이너, 라이브러리 구성이 어긋나면 공급망 보안은 문서상으로만 맞는 상태가 돼요. - 이번 제품 발표의 포인트는 새로운 약어 하나가 아니라, 개발·반입·운영을 끊어서 보던 흐름을 하나로 이어 보겠다는 데 있어요. 국내 기업도 규제 대응이나 고객사 보안 요구 때문에 이런 통합 가시성을 점점 더 요구받게 될 가능성이 커요. ## 핵심 포인트 - XSCAN Secure Asset은 개발·반입·운영환경의 오픈소스 자산 관리를 통합하는 플랫폼으로 소개됨 - SBOM, VEX, Deployed SBOM, Runtime SBOM을 함께 다루는 공급망 보안 흐름을 강조함 - 기존 XSCAN 제품군은 Supply Chain, Server Runtime, Secure Asset으로 포트폴리오가 나뉨 ## 인사이트 국내에서도 공급망 보안이 단순 취약점 스캔에서 운영 환경 검증으로 넘어가는 분위기가 꽤 선명해졌어. 이제 중요한 건 개발 시점에 본 패키지가 실제 서버에서 어떻게 배포되고 실행되는지까지 이어서 보는 거야.