--- title: "레드펜소프트, 운영 환경까지 보는 SW 공급망 보안 플랫폼 출시" published: 2026-06-01T12:05:03.843Z canonical: https://jeff.news/article/3577 --- # 레드펜소프트, 운영 환경까지 보는 SW 공급망 보안 플랫폼 출시 레드펜소프트가 개발·반입·운영 단계의 소프트웨어 자산과 보안 정보를 한 워크플로우에서 관리하는 ‘엑스스캔 시큐어 에셋’을 출시했다. 오픈소스 취약점 점검만으로는 실제 운영 서버의 위험을 보기 어렵다는 문제를 겨냥한 제품이다. - 레드펜소프트가 ‘엑스스캔(XSCAN) 시큐어 에셋’을 출시함 - 소프트캠프 자회사인 레드펜소프트가 내놓은 신규 솔루션 - 개발, 반입, 운영 단계에서 생기는 소프트웨어 자산과 보안 정보를 하나의 워크플로우로 묶어 관리하는 오픈소스 자산관리 플랫폼임 - 포인트는 “개발할 때 검사했으니 끝”이 아니라 “운영 서버에서 실제로 뭐가 돌고 있냐”까지 보겠다는 것임 - 개발 단계에서 확인한 소프트웨어 구성요소와 실제 운영 서버에 배포·실행 중인 구성요소가 일치하는지 확인함 - 알려진 취약점이 운영 환경에 실제 영향을 주는지도 판단할 수 있게 지원한다고 함 - 이 제품이 나온 배경은 공급망 보안의 관심사가 넓어졌기 때문임 - 예전에는 오픈소스 취약점 점검 중심이었다면, 이제는 소프트웨어가 개발되고 외부에서 들어오고 운영 서버에서 실행되는 전 과정을 봐야 한다는 흐름 - 외부 소프트웨어는 내부 시스템 설치, 운영 서버 배포, 실행 환경 변경을 거치기 때문에 개발 단계 점검만으로는 실제 위험을 놓칠 수 있음 > [!NOTE] > 오픈소스 사용 확대와 클라우드·컨테이너 기반 개발 환경 확산 때문에 기업이 추적해야 할 소프트웨어 구성요소가 빠르게 늘고 있음. 그래서 “빌드 시점 목록”과 “운영 시점 현실”을 맞춰보는 일이 중요해짐. - 기사에서 직접 언급된 키워드는 SBOM, VEX, 디플로이드 SBOM, 런타임 SBOM임 - SBOM은 소프트웨어 구성요소를 식별하는 자재명세서 - VEX는 취약점이 실제로 영향을 주는지 판단하는 정보 - 디플로이드 SBOM과 런타임 SBOM은 운영 환경에서 실제 배포·실행 중인 구성요소를 확인하는 쪽에 가까움 - 레드펜소프트는 엑스스캔 제품군도 재정비함 - ‘엑스스캔 서플라이 체인’은 개발·반입 소프트웨어 공급망 검증 담당 - ‘엑스스캔 서버 런타임’은 운영 서버 자산과 실행 환경의 보안 가시성 확보 담당 - ‘엑스스캔 시큐어 에셋’은 개발·반입·운영 환경을 하나의 워크플로우로 통합하는 역할 - 배환국 대표는 공급망 보안이 특정 개발 단계의 문제가 아니라 기업이 쓰는 모든 소프트웨어 자산의 신뢰성과 운영 안정성 문제로 확대되고 있다고 설명함 - 파트너사와 기술·영업 협력을 강화하겠다는 방향도 같이 밝힘 - 국내에서도 공급망 보안이 규제 대응과 운영 보안 사이에서 본격적으로 제품화되는 분위기로 볼 수 있음 --- ## 기술 맥락 - 이 제품이 보려는 건 “취약점이 있냐”보다 “운영 환경에서 실제 위험하냐”에 가까워요. 개발 단계에서 SBOM을 만들었더라도 운영 서버에 다른 버전이 배포되거나 외부 소프트웨어가 추가되면 실제 상태가 달라질 수 있거든요. - VEX가 중요한 이유는 취약점 목록만으로는 우선순위를 잡기 어렵기 때문이에요. 어떤 취약점은 라이브러리에 존재해도 해당 코드 경로를 쓰지 않으면 영향이 제한될 수 있어요. 반대로 운영 중인 구성요소에 바로 닿는 취약점은 빠르게 대응해야 하고요. - 런타임 SBOM과 디플로이드 SBOM은 운영 가시성을 확보하려는 선택이에요. 클라우드와 컨테이너 환경에서는 배포 단위가 자주 바뀌고 이미지도 빠르게 교체되기 때문에, 문서화된 목록만 믿으면 실제 실행 상태를 놓칠 수 있어요. - 한국 기업 입장에서는 이 흐름이 꽤 현실적이에요. 공급망 보안 요구가 강해질수록 단순 점검 리포트보다 개발 산출물, 반입 소프트웨어, 운영 서버 자산을 연결해서 증명하는 체계가 필요해질 가능성이 높아요. ## 핵심 포인트 - 개발 단계의 SBOM과 실제 운영 서버에 배포된 구성요소가 일치하는지 확인하는 방향으로 공급망 보안 범위가 확장 - VEX, 디플로이드 SBOM, 런타임 SBOM 같은 운영 환경 중심의 보안 가시성이 핵심으로 부상 - 엑스스캔 제품군은 서플라이 체인, 서버 런타임, 시큐어 에셋으로 재정비 - 클라우드·컨테이너 확산으로 기업이 추적해야 할 소프트웨어 구성요소가 빠르게 증가 ## 인사이트 국내 보안 시장에서도 SBOM이 문서 제출용 체크리스트에서 운영 리스크 관리 도구로 이동하는 흐름이 보임. 실제 서버에서 무엇이 돌고 있는지까지 연결하지 못하면, 공급망 보안은 감사 대응용 산출물에 머물 가능성이 큼.