본문으로 건너뛰기
피드

래브라도랩스, 공공기관용 오픈소스 분석 솔루션을 나라장터에 올림

security 약 6분
vote
0
댓글
북마크

래브라도랩스가 오픈소스 구성 분석 솔루션 '래브라도 SCA'를 조달청 나라장터에 등록했다. 공공기관은 소스코드, 바이너리, 컨테이너 이미지 안에 들어간 오픈소스 구성요소와 취약점, 라이선스 위험을 조달 절차로 더 빨리 검토할 수 있게 됐다. 정부가 소프트웨어 공급망 보안을 정책 과제로 밀고 있는 흐름과도 맞물린 움직임이다.

  • 1

    공공기관이 나라장터를 통해 래브라도 SCA를 검토하고 도입할 수 있게 됨

  • 2

    소스코드, 바이너리, 컨테이너 이미지에 포함된 오픈소스 구성요소를 자동 식별함

  • 3

    특허 기술인 CENTRIS와 VUDDY로 컴포넌트, 파일, 함수 단위까지 분석함

  • 4

    자체 위험도 기준인 LPP로 실제 패치 우선순위를 제시함

  • 5

    SPDX와 CycloneDX 형식의 SBOM과 오픈소스 라이선스 고지문 생성을 지원함

  • 래브라도랩스가 오픈소스 구성 분석 솔루션 '래브라도 SCA'를 조달청 나라장터에 등록함

    • 공공기관은 이제 일반 조달 절차를 통해 이 솔루션을 검토하고 도입할 수 있음
    • 공공 소프트웨어 사업에서 오픈소스 사용이 늘어나는 상황이라, 조달 등록 자체가 꽤 실무적인 의미를 가짐
  • 핵심 문제는 간단함. 소프트웨어 안에 뭐가 들어갔는지 모르면, 취약점도 라이선스 의무도 제대로 관리 못 함

    • 오픈소스는 개발 중에 수정되고, 다른 오픈소스와 결합되고, 버전도 계속 바뀜
    • 규모가 커질수록 사람이 직접 구성요소를 하나씩 확인하는 건 사실상 빡셈
    • 관리되지 않은 취약점이나 라이선스 위반 가능성이 그대로 소프트웨어 공급망 리스크로 이어질 수 있음

중요

> 정부도 이 흐름을 정책 과제로 보고 있음. 과학기술정보통신부와 국가정보원이 6월 24일 발표한 'AI 일상화 시대를 준비하는 SW 공급망 보안 로드맵'에서도 SBOM 기반 관리 모델 확산을 주요 전략으로 제시함.

  • 래브라도 SCA는 소스코드만 보는 도구가 아니라, 바이너리와 컨테이너 이미지까지 분석 대상으로 잡음

    • 포함된 오픈소스 구성요소를 자동으로 식별함
    • 알려진 보안 취약점과 라이선스 위험을 함께 분석함
    • 쉽게 말하면 식품 원산지와 성분표 확인하듯, 소프트웨어 안의 재료와 위험 요소를 까보는 도구임
  • 분석 깊이도 꽤 강조하고 있음. 컴포넌트 단위에서 끝나는 게 아니라 파일, 함수 단위까지 내려감

    • 특허 기술인 'CENTRIS'와 'VUDDY' 알고리즘을 기반으로 정밀 분석한다고 밝힘
    • 오픈소스 구성요소, 알려진 취약점, 라이선스 위반 가능성을 찾는 데 초점을 둠
    • 자체 인공지능 모델을 써서 탐지 결과의 정확도를 높인다고 설명함
  • 흥미로운 포인트는 CVSS 점수만 보고 줄 세우는 방식의 한계를 보완하려 한다는 점임

    • CVSS는 취약점 심각도를 보는 데 유용하지만, 실제 운영 환경에서 '뭘 먼저 고쳐야 하는지'까지 항상 말해주진 않음
    • 래브라도 SCA는 자체 위험도 평가 기준인 LPP를 적용해 패치 우선순위를 제시함
    • 전체 구성요소를 무조건 갈아엎는 대신, 실제 취약 코드가 포함된 부분을 선별해 수정하도록 돕는 구조임

💡

> 공공기관이나 납품사를 상대하는 팀이라면 SBOM 생성 여부만 볼 게 아니라, 취약점 우선순위를 어떤 기준으로 잡는지도 같이 봐야 함. 운영 환경에서는 '다 고치자'가 제일 비싼 답일 때가 많음.

  • 문서화와 규제 대응 쪽 기능도 같이 묶여 있음

    • SPDX와 CycloneDX 같은 국제 표준 형식의 SBOM을 자동 생성함
    • 오픈소스 라이선스 고지문 생성 기능도 제공함
    • 보안 감사, 규제 대응, 공공기관 납품 문서 작성에 바로 붙일 수 있는 기능들임
  • 개발·운영 환경 연계도 고려한 제품으로 보임

    • 다양한 프로그래밍 언어와 주요 패키지 매니저를 지원한다고 밝힘
    • 지속적 통합·배포 환경인 CI/CD 도구와도 연계할 수 있음
    • 개발 단계부터 도입, 운영 단계까지 공급망 보안 요구사항을 추적하려는 방향임

기술 맥락

  • 이번 선택의 핵심은 공공기관이 오픈소스 리스크를 '사후 점검'이 아니라 조달과 운영 프로세스 안에서 관리하려는 거예요. 나라장터 등록은 구매 접근성을 높이는 일이라서, 보안 담당자가 별도 예외 절차를 덜 밟고 검토할 수 있다는 점이 커요.

  • SCA가 중요한 이유는 요즘 소프트웨어가 직접 짠 코드보다 외부 패키지와 이미지에 더 많이 의존하기 때문이에요. 소스코드만 보면 놓치는 바이너리나 컨테이너 이미지까지 확인해야 실제 배포물 기준의 위험을 볼 수 있거든요.

  • CVSS 대신 LPP 같은 자체 우선순위를 강조한 것도 실무적인 포인트예요. 점수 높은 취약점이 많아도 실제 코드 경로에 없거나 운영 환경에서 악용 가능성이 낮으면, 당장 패치할 대상이 아닐 수 있어요.

  • SPDX와 CycloneDX 지원은 단순한 파일 출력 기능이 아니에요. 공공기관 납품, 보안 감사, 협력사 검증에서 같은 형식으로 구성요소를 주고받아야 추적이 가능하기 때문에 표준 SBOM 형식이 필요해요.

공공 소프트웨어에서 오픈소스 사용은 이미 기본값에 가까운데, 문제는 '뭘 가져다 썼는지'를 끝까지 추적하는 체계가 약했다는 점이다. 나라장터 등록은 단순 판매 채널 확보라기보다 공공기관 공급망 보안 요구가 실제 구매 절차로 내려오고 있다는 신호에 가깝다.

댓글

댓글

댓글을 불러오는 중...

security

KT도 AI 메일보안 CSAP 확보, 통신 3사 공공 AI 클라우드 경쟁 본격화

KT가 AI 메일보안 서비스로 클라우드서비스 보안인증(CSAP) SaaS 표준등급을 추가 확보했다. SK텔레콤은 블랙웰 GPU 기반 GPUaaS로 IaaS 하등급 인증을 받았고, LG유플러스도 IaaS 인증을 보유하면서 통신 3사가 공공 AI 클라우드 시장 진입 요건을 쌓는 흐름이 뚜렷해졌다.

security

래브라도랩스 SCA, 나라장터 등록…공공기관 오픈소스 공급망 보안 진입장벽 낮아짐

래브라도랩스의 오픈소스 구성 분석 솔루션 ‘래브라도 SCA’가 조달청 나라장터에 등록됐다. 공공기관은 별도 복잡한 조달 절차 없이 소프트웨어 구성요소, 취약점, 라이선스 리스크를 점검하는 도구를 더 빠르게 검토하고 도입할 수 있게 됐다.

security

AI 안전, 이제 답변만 보면 안 됨…에이전트 행동 기록과 로봇 움직임까지 검증해야

AI가 챗봇을 넘어 에이전트와 피지컬 AI로 확장되면서, 안전성 검증의 기준도 ‘무슨 답을 했나’에서 ‘무슨 데이터를 보고 실제로 뭘 했나’로 이동하고 있다. ML커먼스와 국내외 AI 안전 연구진은 산업용 벤치마크, 도구 호출 추적, 물리 시스템 가드레일이 함께 필요하다고 봤다.

security

라자루스식 공격자, 유명 개발도구로 위장한 npm 악성 패키지 뿌림

북한 연계 조직 라자루스와 유사한 수법을 쓰는 공격자들이 npm 저장소에 유명 개발도구처럼 꾸민 악성 패키지 6종을 올린 것으로 드러났다. 패키지명, 설명, 저장소 정보, 홈페이지까지 정상 프로젝트처럼 위장했고, 설치 뒤 추가 패키지와 암호화된 악성 코드를 내려받는 다단계 구조를 썼다.

security

보안 스타트업들, 투자와 글로벌 클라우드 인증 부담을 같이 꺼내놓음

한국정보보호산업협회가 정보보호 스타트업 협의체 회의를 열고 보안 스타트업 투자 활성화와 글로벌 클라우드 컴플라이언스 대응을 논의했다. 참석자들은 SaaS 도입 확대, PoC 기회, 인증 비용과 절차 부담 완화가 필요하다고 봤다.