---
title: "래브라도랩스 SCA, 나라장터 등록…공공기관 오픈소스 공급망 보안 진입장벽 낮아짐"
published: 2026-07-07T06:05:03.550Z
canonical: https://jeff.news/article/4746
---
# 래브라도랩스 SCA, 나라장터 등록…공공기관 오픈소스 공급망 보안 진입장벽 낮아짐

래브라도랩스의 오픈소스 구성 분석 솔루션 ‘래브라도 SCA’가 조달청 나라장터에 등록됐다. 공공기관은 별도 복잡한 조달 절차 없이 소프트웨어 구성요소, 취약점, 라이선스 리스크를 점검하는 도구를 더 빠르게 검토하고 도입할 수 있게 됐다.

- 래브라도랩스의 오픈소스 구성 분석 솔루션 ‘래브라도 SCA’가 조달청 나라장터에 등록됨
  - 공공기관은 나라장터 조달 절차를 통해 제품을 더 빠르게 검토하고 도입할 수 있게 됨
  - 보안 솔루션 하나가 쇼핑몰에 올라왔다는 얘기처럼 보이지만, 공공 SW 공급망 보안 쪽에서는 꽤 현실적인 의미가 있음

- 핵심은 “우리 소프트웨어 안에 뭐가 들어 있는지”를 자동으로 파악하는 것임
  - 공공 소프트웨어 사업에서 오픈소스는 사실상 필수 재료가 됐음
  - 문제는 어떤 오픈소스가 들어갔는지, 어떤 버전인지, 알려진 취약점이 있는지, 라이선스 의무가 붙는지 끝까지 추적하기가 어렵다는 점임
  - 오픈소스는 가져다 쓰는 순간 수정되고, 다른 오픈소스와 연결되고, 버전도 계속 바뀌어서 규모가 커질수록 사람이 눈으로 확인하는 방식은 바로 한계가 옴

- 정부 정책 흐름도 이쪽으로 확실히 기울고 있음
  - 과학기술정보통신부와 국가정보원이 지난달 ‘AI 일상화 시대를 준비하는 SW 공급망 보안 로드맵’을 발표함
  - 배경에는 고성능 AI를 활용한 공격 자동화가 있음. 취약점 탐지와 공격 수행이 더 빨라지면, 기존 보안 체계만으로는 방어가 빡세진다는 문제의식임
  - 정부는 SBOM을 활용한 공급망 보안 관리 모델 확산을 주요 전략으로 제시함

> [!IMPORTANT]
> SBOM은 이제 ‘있으면 좋은 문서’가 아니라, 공공 소프트웨어 공급망 보안에서 점점 기본 요구사항에 가까워지고 있음.

- 래브라도 SCA는 소스코드·바이너리·컨테이너를 분석해 오픈소스 구성요소를 찾아냄
  - 식자재의 원산지와 성분표를 확인하듯, 소프트웨어 안의 오픈소스 이름, 버전, 취약점, 라이선스 정보를 분석하는 방식임
  - 분석 대상이 소스코드에만 머무르지 않고 바이너리와 컨테이너까지 포함된다는 점이 중요함. 실제 배포물 기준으로도 확인할 수 있어야 공급망 리스크를 줄일 수 있기 때문임

- 분석 엔진에는 래브라도랩스의 특허 기술인 ‘CENTRIS·VUDDY’ 알고리즘이 들어감
  - 컴포넌트·파일·함수 단위까지 내려가 오픈소스 구성요소, 취약점, 라이선스 위반 가능성을 탐지한다고 설명함
  - 자체 AI 모델도 적용해 탐지 정확도를 높이고, 단순히 취약점 목록을 쭉 뿌리는 데서 끝내지 않음
  - 보안 담당자가 진짜 먼저 봐야 할 취약점을 가려내는 쪽에 초점이 있음

- CVSS 점수만으로 패치 우선순위를 정하기 어렵다는 문제도 겨냥함
  - 공통위험도 점수(CVSS)는 유용하지만, 실제 운영 환경에서 “그래서 오늘 뭘 먼저 고쳐야 함?”에 바로 답해주지는 못함
  - 래브라도 SCA는 자체 위험도 기준인 LPP(Labrador Patch Priorities)로 패치 우선순위를 제시함
  - 취약 코드만 선별해 수정하도록 지원해, 전체 시스템을 무리하게 갈아엎지 않고 위험이 큰 부분부터 대응할 수 있게 하는 그림임

- 문서화와 규제 대응 기능도 같이 묶여 있음
  - SPDX와 CycloneDX 국제 표준 형식의 SBOM을 자동 생성함
  - 라이선스 고지문 생성 기능도 제공해 감사, 규제 대응, 납품 문서 작성에 활용할 수 있음
  - 다양한 개발 언어, 주요 패키지 매니저, CI/CD 도구를 지원하는 점도 공공기관 입장에서는 도입 장벽을 낮추는 요소임

- 래브라도랩스 김진석 대표는 오픈소스의 편리함 뒤에 숨은 리스크를 강조함
  - “그 안에 무엇이 들어 있는지 모르면 위험도 함께 들여온 것”이라는 취지의 설명을 내놓음
  - 이번 조달 등록으로 공공기관이 별도 절차 부담을 줄이고 오픈소스 취약점과 라이선스 리스크를 체계적으로 관리할 수 있는 기반을 마련했다는 입장임

---

## 기술 맥락

- 이번 선택의 핵심은 공공기관 조달 흐름 안에 SCA를 넣었다는 점이에요. 공공 SW는 오픈소스를 많이 쓰지만, 납품·감사·운영 단계에서 구성요소를 계속 추적해야 해서 도구 없이 관리하기가 어렵거든요.

- SBOM을 SPDX나 CycloneDX로 자동 생성하는 기능이 중요한 이유는, 기관마다 임의 양식으로 관리하면 나중에 취약점이 터졌을 때 영향 범위를 빠르게 찾기 힘들기 때문이에요. 표준 형식이면 보안 도구, 감사 문서, 납품 프로세스와 연결하기가 훨씬 쉬워져요.

- CVSS만 보지 않고 LPP 같은 자체 우선순위를 제시한다는 부분도 실무적으로 의미가 있어요. 취약점 목록은 보통 너무 많이 나오기 때문에, 운영팀 입장에서는 점수보다 ‘우리 환경에서 지금 먼저 고칠 것’이 더 필요하거든요.

- 소스코드뿐 아니라 바이너리와 컨테이너까지 본다는 점은 배포 현실을 반영한 선택이에요. 실제 운영 환경에서는 코드 저장소에 없는 의존성이 이미지나 빌드 산출물에 섞일 수 있어서, 최종 산출물 기준 분석이 공급망 보안에서 중요해요.

## 핵심 포인트

- 래브라도 SCA가 조달청 나라장터에 등록돼 공공기관 도입 절차가 쉬워짐
- 소스코드·바이너리·컨테이너 안의 오픈소스 구성요소와 취약점, 라이선스 리스크를 자동 분석함
- SPDX와 CycloneDX 형식의 SBOM 자동 생성, 라이선스 고지문 생성, CI/CD 연동을 지원함
- CVSS만 보는 방식의 한계를 보완하기 위해 자체 패치 우선순위 기준인 LPP를 제공함

## 인사이트

공공 소프트웨어에서 오픈소스 사용은 이미 기본값인데, 이제 문제는 ‘뭘 썼는지 알고 있냐’ 쪽으로 넘어가고 있음. 나라장터 등록은 단순 판매 채널 확대라기보다, 공공기관이 SBOM 기반 공급망 보안을 실제 조달 프로세스 안으로 끌어들이기 쉬워졌다는 신호에 가깝다.
