소프트캠프 자회사 레드펜소프트는 소프트웨어(SW) 공급망 보안 솔루션 엑스스캔(XSCAN)에 클라우드 컨테이너 이미지의 스캐닝 및 분석 기능을 출시했다고 29일 밝혔다.
엑스스캔은 클라우드 기반으로 소프트웨어 전달 및 검증 체계를 구현한 소프트웨어 공급망 위협 대응 서비스다. 컨테이너 이미지의 투명한 가시성 확보를 위해 컨테이너 이미지를 구성하는 레이어 및 패키지를 구성하는 제반 아티팩트(산출물)를 표준 소프트웨어 구성 명세서인 SBOM(Software Bill of Materials)으로 생성해낸다.
컨테이너 이미지에 활용된 오픈소스 라이브러리 및 해당 취약점과 라이선스 이슈도 추적해낸다. 이미 공격 당한 알려진 악용된 취약점 KEV(Known Exploited Vulnerability)와 공격 당할 가능성이 매우 높은 취약점 HEV(Highly Exploitable Vulnerability) 정보를 제공하여 취약점 대응의 우선순위를 설정할 수 있다.
한편 API키 등 컨테이너 이미지에 노출된 비밀은 중대한 침해로 이어질 수도 있다.
XSCAN은 컨테이너 이미지에 포함된 비밀 데이터 정보도 찾아준다. 기존 XSCAN이 가지고 있던 생성형AI 연계 기능을 컨테이너 이미지 분석에도 확장해 컨테이너 이미지의 각 레이어에 포함된 명령어의 목적과 기능을 알기 쉽게 해석해 준다.
레드펜소프트 전익찬 부대표는 “정부의 SW공급망 보안 가이드라인의 공식 발표와 더불어 SBOM 도구 시장이 본격 개화할 것으로 전망한다”며 “이번 컨테이너 이미지 스캐닝 및 분석 기능 출시를 통해 클라우드로의 이행을 고민하는 고객분들께 새로운 가치를 제공할 수 있게 됐다”고 말했다.
solidkjy@fnnews.com 구자윤 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지