세온이앤에스, 임베디드 코드까지 파고드는 실시간 보안 분석 솔루션 출시

• 세온이앤에스가 임베디드 소프트웨어용 보안 분석 솔루션 ‘Seon Code Analyzer’를 정식 출시함

  • C/C++ 기반 임베디드 소프트웨어 내부의 오픈소스 구성 요소를 분석하는 제품임
  • 결과로 소프트웨어 자재명세서(SBOM)와 보안 취약점 리포트를 자동 생성함
  • 7월 1일 수원컨벤션센터에서 열리는 ‘AID 2026’에서 실시간 분석과 소프트웨어 자재명세서 생성 데모를 공개할 예정임

• 이 제품이 겨냥하는 문제는 “패키지 매니저에 안 잡히는 오픈소스”임

  • 자동차, 전력, 제어기기 같은 임베디드 제품은 웹·앱 소프트웨어처럼 의존성 파일이 깔끔하게 남아 있지 않은 경우가 많음
  • 오픈소스 코드가 소스 내부에 직접 복사·이식되는 경우가 흔해서, 기존 소프트웨어 구성 분석 도구가 놓치기 쉬움
  • 결국 보안·품질 검증 부서가 방대한 펌웨어 코드를 사람이 직접 대조하는 병목이 생겼다는 게 기사에서 짚은 배경임

• Seon Code Analyzer는 의존성 파일 유무와 상관없이 소스코드 자체를 분석한다고 함

  • 소스코드의 구조적 특징을 보고 누락된 오픈소스 라이브러리를 역추적하는 방식임
  • 원본 소스코드를 외부 서버로 보내지 않고, 고유한 코드 지문만 추출해 대조한다고 설명함
  • 기업 입장에선 핵심 지식재산인 소스코드를 외부로 내보내지 않는다는 점이 꽤 중요한 차별점임

• 산출물은 컴플라이언스 쪽에 맞춰져 있음

  • 국제 표준인 CycloneDX 포맷의 소프트웨어 자재명세서를 생성함
  • 미국 국립표준기술연구소 취약점 데이터베이스와 오픈소스 취약점 데이터베이스를 연동해 취약점 식별자인 CVE 정보를 실시간 매핑함
  • 미 사이버보안·인프라보안국이 지정한 알려진 악용 취약점(KEV) 데이터까지 함께 검토해 우선순위 선정을 돕는 구조임

• 라이선스 리스크도 같은 흐름에서 처리함

  • SPDX 규격의 라이선스 컴플라이언스 분석서를 단일 파이프라인으로 생성한다고 함
  • 오픈소스 취약점만 보는 게 아니라, 라이선스 위반 가능성까지 같이 다루려는 설계임
  • 기업 납품, 인증, 수출 규제 대응에서는 보안 취약점만큼 라이선스 증거도 골치 아픈 영역임

• 오탐을 줄이기 위해 인공지능 기반 ‘증거 점수’도 넣었다고 함

  • 분석 결과가 실제 오픈소스 사용 증거로 얼마나 강한지 점수화하는 방식으로 보임
  • 관리자가 모든 후보를 수동으로 확인해야 하는 부담을 줄이는 게 목표임
  • 보안 도구에서 탐지는 많지만 쓸 수 있는 결과가 적은 문제를 겨냥한 기능임

• 무선 업데이트(OTA) 환경에서는 이런 자동화가 더 중요해짐

  • 임베디드 기기가 한 번 출고되고 끝나는 게 아니라, 무선 업데이트로 계속 바뀌는 환경이 늘고 있음
  • 업데이트마다 소프트웨어 구성 요소와 취약점 상태를 사람이 추적하는 건 현실적으로 빡셈
  • 세온이앤에스는 코드 한 줄 단위의 근거 데이터와 자동화된 컴플라이언스 체계가 보안 점검 비용을 줄일 수 있다고 강조함

---

기술 맥락

• 임베디드 소프트웨어에서 소프트웨어 자재명세서가 어려운 이유는 의존성 선언이 항상 남아 있지 않기 때문이에요. 웹 서비스는 패키지 파일을 보면 실마리가 잡히지만, 펌웨어는 필요한 코드만 복사해서 넣는 일이 흔하거든요.

• 그래서 이 솔루션은 패키지 목록이 아니라 코드 자체의 특징을 본다고 해요. 왜냐하면 실제 위험은 “문서에 적힌 라이브러리”가 아니라 “제품 안에 들어간 코드”에서 터지기 때문이에요.

• 원본 소스코드를 외부로 보내지 않고 코드 지문만 대조하는 방식도 현실적인 선택이에요. 임베디드 제조사 입장에선 펌웨어 소스가 핵심 지식재산이라, 보안 점검 때문에 외부 서버에 올리는 것 자체가 또 다른 리스크가 돼요.

• CycloneDX, SPDX, CVE, KEV를 한 흐름으로 묶는 건 규제 대응 시간을 줄이려는 의도예요. 개발팀은 구성 요소를 찾고, 보안팀은 취약점을 보고, 법무나 품질팀은 라이선스를 봐야 하니 결과물이 흩어지면 검토 비용이 확 늘어나거든요.