본문으로 건너뛰기
J
피드

레드펜소프트, 운영 환경까지 보는 SW 공급망 보안 플랫폼 출시

security 약 5분
tags
#sbom#vex#supply-chain#runtime#asset
vote
0
댓글
북마크

레드펜소프트가 개발·반입·운영 단계의 소프트웨어 자산과 보안 정보를 한 워크플로우에서 관리하는 ‘엑스스캔 시큐어 에셋’을 출시했다. 오픈소스 취약점 점검만으로는 실제 운영 서버의 위험을 보기 어렵다는 문제를 겨냥한 제품이다.

  • 1

    개발 단계의 SBOM과 실제 운영 서버에 배포된 구성요소가 일치하는지 확인하는 방향으로 공급망 보안 범위가 확장

  • 2

    VEX, 디플로이드 SBOM, 런타임 SBOM 같은 운영 환경 중심의 보안 가시성이 핵심으로 부상

  • 3

    엑스스캔 제품군은 서플라이 체인, 서버 런타임, 시큐어 에셋으로 재정비

  • 4

    클라우드·컨테이너 확산으로 기업이 추적해야 할 소프트웨어 구성요소가 빠르게 증가

  • 레드펜소프트가 ‘엑스스캔(XSCAN) 시큐어 에셋’을 출시함

    • 소프트캠프 자회사인 레드펜소프트가 내놓은 신규 솔루션
    • 개발, 반입, 운영 단계에서 생기는 소프트웨어 자산과 보안 정보를 하나의 워크플로우로 묶어 관리하는 오픈소스 자산관리 플랫폼임

  • 포인트는 “개발할 때 검사했으니 끝”이 아니라 “운영 서버에서 실제로 뭐가 돌고 있냐”까지 보겠다는 것임

    • 개발 단계에서 확인한 소프트웨어 구성요소와 실제 운영 서버에 배포·실행 중인 구성요소가 일치하는지 확인함
    • 알려진 취약점이 운영 환경에 실제 영향을 주는지도 판단할 수 있게 지원한다고 함

  • 이 제품이 나온 배경은 공급망 보안의 관심사가 넓어졌기 때문임

    • 예전에는 오픈소스 취약점 점검 중심이었다면, 이제는 소프트웨어가 개발되고 외부에서 들어오고 운영 서버에서 실행되는 전 과정을 봐야 한다는 흐름
    • 외부 소프트웨어는 내부 시스템 설치, 운영 서버 배포, 실행 환경 변경을 거치기 때문에 개발 단계 점검만으로는 실제 위험을 놓칠 수 있음

ℹ️참고

> 오픈소스 사용 확대와 클라우드·컨테이너 기반 개발 환경 확산 때문에 기업이 추적해야 할 소프트웨어 구성요소가 빠르게 늘고 있음. 그래서 “빌드 시점 목록”과 “운영 시점 현실”을 맞춰보는 일이 중요해짐.

  • 기사에서 직접 언급된 키워드는 SBOM, VEX, 디플로이드 SBOM, 런타임 SBOM임

    • SBOM은 소프트웨어 구성요소를 식별하는 자재명세서
    • VEX는 취약점이 실제로 영향을 주는지 판단하는 정보
    • 디플로이드 SBOM과 런타임 SBOM은 운영 환경에서 실제 배포·실행 중인 구성요소를 확인하는 쪽에 가까움

  • 레드펜소프트는 엑스스캔 제품군도 재정비함

    • ‘엑스스캔 서플라이 체인’은 개발·반입 소프트웨어 공급망 검증 담당
    • ‘엑스스캔 서버 런타임’은 운영 서버 자산과 실행 환경의 보안 가시성 확보 담당
    • ‘엑스스캔 시큐어 에셋’은 개발·반입·운영 환경을 하나의 워크플로우로 통합하는 역할

  • 배환국 대표는 공급망 보안이 특정 개발 단계의 문제가 아니라 기업이 쓰는 모든 소프트웨어 자산의 신뢰성과 운영 안정성 문제로 확대되고 있다고 설명함

    • 파트너사와 기술·영업 협력을 강화하겠다는 방향도 같이 밝힘
    • 국내에서도 공급망 보안이 규제 대응과 운영 보안 사이에서 본격적으로 제품화되는 분위기로 볼 수 있음

기술 맥락

  • 이 제품이 보려는 건 “취약점이 있냐”보다 “운영 환경에서 실제 위험하냐”에 가까워요. 개발 단계에서 SBOM을 만들었더라도 운영 서버에 다른 버전이 배포되거나 외부 소프트웨어가 추가되면 실제 상태가 달라질 수 있거든요.

  • VEX가 중요한 이유는 취약점 목록만으로는 우선순위를 잡기 어렵기 때문이에요. 어떤 취약점은 라이브러리에 존재해도 해당 코드 경로를 쓰지 않으면 영향이 제한될 수 있어요. 반대로 운영 중인 구성요소에 바로 닿는 취약점은 빠르게 대응해야 하고요.

  • 런타임 SBOM과 디플로이드 SBOM은 운영 가시성을 확보하려는 선택이에요. 클라우드와 컨테이너 환경에서는 배포 단위가 자주 바뀌고 이미지도 빠르게 교체되기 때문에, 문서화된 목록만 믿으면 실제 실행 상태를 놓칠 수 있어요.

  • 한국 기업 입장에서는 이 흐름이 꽤 현실적이에요. 공급망 보안 요구가 강해질수록 단순 점검 리포트보다 개발 산출물, 반입 소프트웨어, 운영 서버 자산을 연결해서 증명하는 체계가 필요해질 가능성이 높아요.

국내 보안 시장에서도 SBOM이 문서 제출용 체크리스트에서 운영 리스크 관리 도구로 이동하는 흐름이 보임. 실제 서버에서 무엇이 돌고 있는지까지 연결하지 못하면, 공급망 보안은 감사 대응용 산출물에 머물 가능성이 큼.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

인스타그램 계정 탈취, 이번엔 메타 지원 AI가 문을 열어준 꼴

인스타그램에서 일부 계정이 탈취된 사건의 핵심은 공격자가 사용자명과 대략적인 위치만 맞춘 뒤, 메타 지원 AI에게 본인 소유 이메일로 인증 코드를 보내게 만들었다는 주장임. 이 흐름에서는 2단계 인증도 계정 복구 절차 안에서 우회됐고, 고가의 짧은 핸들을 노린 블랙마켓 거래까지 이어졌다고 해.

security

레드햇 클라우드 서비스 npm 패키지 여러 버전에서 악성 패키지 탐지

레드햇 클라우드 서비스 관련 npm 패키지 다수에서 악성으로 보이는 버전들이 한꺼번에 지목됐어. 프론트엔드 컴포넌트, 클라이언트 SDK, ESLint 설정, MCP 관련 패키지까지 범위가 넓어서 의존성 잠금 파일을 바로 확인할 필요가 있어.

security

에스투더블유, 공공기관용 보안 AI 제품 2종으로 CSAP 인증 획득

에스투더블유가 안보 AI 플랫폼 자비스와 보안 AI 솔루션 퀘이사에 대해 클라우드 서비스 보안인증을 받았다. 공공기관 납품과 조달청 디지털서비스몰 등록에 필요한 문턱을 넘었다는 점에서, 국내 보안 SaaS 시장에 꽤 실질적인 뉴스다.

security

레드펜소프트, 공급망 보안 전 주기 묶은 XSCAN Secure Asset 공개

레드펜소프트가 2026 상반기 기술 파트너 세미나에서 XSCAN Secure Asset을 공식 공개했어. 개발 단계의 구성요소 점검부터 외부 반입 소프트웨어 검증, 운영 서버의 실제 실행 구성요소 확인까지 하나의 워크플로우로 묶겠다는 방향이 핵심이야.

security

레드펜소프트, 개발부터 운영까지 묶는 소프트웨어 공급망 보안 플랫폼 출시

레드펜소프트가 소프트웨어 공급망 보안을 개발·반입·운영 단계까지 하나의 워크플로우로 관리하는 X스캔 시큐어 애셋을 출시했다. 단순 오픈소스 취약점 점검을 넘어, 실제 운영 서버에서 어떤 구성요소가 실행 중이고 어떤 취약점이 진짜 위험한지까지 연결해 보겠다는 방향이다.