---
title: "래브라도랩스, 공공기관용 오픈소스 분석 솔루션을 나라장터에 올림"
published: 2026-07-07T04:05:03.550Z
canonical: https://jeff.news/article/4748
---
# 래브라도랩스, 공공기관용 오픈소스 분석 솔루션을 나라장터에 올림

래브라도랩스가 오픈소스 구성 분석 솔루션 '래브라도 SCA'를 조달청 나라장터에 등록했다. 공공기관은 소스코드, 바이너리, 컨테이너 이미지 안에 들어간 오픈소스 구성요소와 취약점, 라이선스 위험을 조달 절차로 더 빨리 검토할 수 있게 됐다. 정부가 소프트웨어 공급망 보안을 정책 과제로 밀고 있는 흐름과도 맞물린 움직임이다.

- 래브라도랩스가 오픈소스 구성 분석 솔루션 '래브라도 SCA'를 조달청 나라장터에 등록함
  - 공공기관은 이제 일반 조달 절차를 통해 이 솔루션을 검토하고 도입할 수 있음
  - 공공 소프트웨어 사업에서 오픈소스 사용이 늘어나는 상황이라, 조달 등록 자체가 꽤 실무적인 의미를 가짐

- 핵심 문제는 간단함. 소프트웨어 안에 뭐가 들어갔는지 모르면, 취약점도 라이선스 의무도 제대로 관리 못 함
  - 오픈소스는 개발 중에 수정되고, 다른 오픈소스와 결합되고, 버전도 계속 바뀜
  - 규모가 커질수록 사람이 직접 구성요소를 하나씩 확인하는 건 사실상 빡셈
  - 관리되지 않은 취약점이나 라이선스 위반 가능성이 그대로 소프트웨어 공급망 리스크로 이어질 수 있음

> [!IMPORTANT]
> 정부도 이 흐름을 정책 과제로 보고 있음. 과학기술정보통신부와 국가정보원이 6월 24일 발표한 'AI 일상화 시대를 준비하는 SW 공급망 보안 로드맵'에서도 SBOM 기반 관리 모델 확산을 주요 전략으로 제시함.

- 래브라도 SCA는 소스코드만 보는 도구가 아니라, 바이너리와 컨테이너 이미지까지 분석 대상으로 잡음
  - 포함된 오픈소스 구성요소를 자동으로 식별함
  - 알려진 보안 취약점과 라이선스 위험을 함께 분석함
  - 쉽게 말하면 식품 원산지와 성분표 확인하듯, 소프트웨어 안의 재료와 위험 요소를 까보는 도구임

- 분석 깊이도 꽤 강조하고 있음. 컴포넌트 단위에서 끝나는 게 아니라 파일, 함수 단위까지 내려감
  - 특허 기술인 'CENTRIS'와 'VUDDY' 알고리즘을 기반으로 정밀 분석한다고 밝힘
  - 오픈소스 구성요소, 알려진 취약점, 라이선스 위반 가능성을 찾는 데 초점을 둠
  - 자체 인공지능 모델을 써서 탐지 결과의 정확도를 높인다고 설명함

- 흥미로운 포인트는 CVSS 점수만 보고 줄 세우는 방식의 한계를 보완하려 한다는 점임
  - CVSS는 취약점 심각도를 보는 데 유용하지만, 실제 운영 환경에서 '뭘 먼저 고쳐야 하는지'까지 항상 말해주진 않음
  - 래브라도 SCA는 자체 위험도 평가 기준인 LPP를 적용해 패치 우선순위를 제시함
  - 전체 구성요소를 무조건 갈아엎는 대신, 실제 취약 코드가 포함된 부분을 선별해 수정하도록 돕는 구조임

> [!TIP]
> 공공기관이나 납품사를 상대하는 팀이라면 SBOM 생성 여부만 볼 게 아니라, 취약점 우선순위를 어떤 기준으로 잡는지도 같이 봐야 함. 운영 환경에서는 '다 고치자'가 제일 비싼 답일 때가 많음.

- 문서화와 규제 대응 쪽 기능도 같이 묶여 있음
  - SPDX와 CycloneDX 같은 국제 표준 형식의 SBOM을 자동 생성함
  - 오픈소스 라이선스 고지문 생성 기능도 제공함
  - 보안 감사, 규제 대응, 공공기관 납품 문서 작성에 바로 붙일 수 있는 기능들임

- 개발·운영 환경 연계도 고려한 제품으로 보임
  - 다양한 프로그래밍 언어와 주요 패키지 매니저를 지원한다고 밝힘
  - 지속적 통합·배포 환경인 CI/CD 도구와도 연계할 수 있음
  - 개발 단계부터 도입, 운영 단계까지 공급망 보안 요구사항을 추적하려는 방향임

---

## 기술 맥락

- 이번 선택의 핵심은 공공기관이 오픈소스 리스크를 '사후 점검'이 아니라 조달과 운영 프로세스 안에서 관리하려는 거예요. 나라장터 등록은 구매 접근성을 높이는 일이라서, 보안 담당자가 별도 예외 절차를 덜 밟고 검토할 수 있다는 점이 커요.

- SCA가 중요한 이유는 요즘 소프트웨어가 직접 짠 코드보다 외부 패키지와 이미지에 더 많이 의존하기 때문이에요. 소스코드만 보면 놓치는 바이너리나 컨테이너 이미지까지 확인해야 실제 배포물 기준의 위험을 볼 수 있거든요.

- CVSS 대신 LPP 같은 자체 우선순위를 강조한 것도 실무적인 포인트예요. 점수 높은 취약점이 많아도 실제 코드 경로에 없거나 운영 환경에서 악용 가능성이 낮으면, 당장 패치할 대상이 아닐 수 있어요.

- SPDX와 CycloneDX 지원은 단순한 파일 출력 기능이 아니에요. 공공기관 납품, 보안 감사, 협력사 검증에서 같은 형식으로 구성요소를 주고받아야 추적이 가능하기 때문에 표준 SBOM 형식이 필요해요.

## 핵심 포인트

- 공공기관이 나라장터를 통해 래브라도 SCA를 검토하고 도입할 수 있게 됨
- 소스코드, 바이너리, 컨테이너 이미지에 포함된 오픈소스 구성요소를 자동 식별함
- 특허 기술인 CENTRIS와 VUDDY로 컴포넌트, 파일, 함수 단위까지 분석함
- 자체 위험도 기준인 LPP로 실제 패치 우선순위를 제시함
- SPDX와 CycloneDX 형식의 SBOM과 오픈소스 라이선스 고지문 생성을 지원함

## 인사이트

공공 소프트웨어에서 오픈소스 사용은 이미 기본값에 가까운데, 문제는 '뭘 가져다 썼는지'를 끝까지 추적하는 체계가 약했다는 점이다. 나라장터 등록은 단순 판매 채널 확보라기보다 공공기관 공급망 보안 요구가 실제 구매 절차로 내려오고 있다는 신호에 가깝다.
