[지디넷코리아]
애플리케이션보안 전문기업 스패로우(대표 장일수)가 나인트리 프리미어 로카우스 호텔 서울 용산에서 11일 개최한 연례 고객 초청 행사 ‘SAI 2026(Sparrow application Insight)’이 성황리에 막을 내렸다. 스패로우는 이번 행사에서 오픈소스와 AI 코딩 중심의 최신 개발 환경이 직면한 보안 위협을 진단하고, 이에 대응하기 위한 소프트웨어(이하 SW) 공급망 보안 전략을 공유했다.
‘SAI’는 기존 스패로우 연례 행사인 ‘PUC(Power User Conference)’의 새로운 이름이다. 애플리케이션 보안 전반을 아우르는 깊이 있는 인사이트를 제공하겠다는 취지를 담아 올해 새롭게 출발했다. 국내 주요 기업 및 기관의 IT·보안 리더와 실무자들이 대거 참석한 이번 행사는 ‘AI 혁신으로 완성하는 SW 공급망 보안’을 주제로 열렸다.
초청 강연을 맡은 공급망보안연구회 이만희 위원장은 ‘변화하는 공급망 보안 환경과 기업의 대응 전략’을 주제로 발표했다. 이 위원장은 최근 급변하는 글로벌 공급망 규제 동향을 짚어본 후, 기술 발전에 따라 다변화된 공격 표면과 최신 공급망 위협을 소개했다. 특히 클로드 미토스(Claude Mythos) 등 최신 AI 모델들 특징과 시사점을 공유하며, AI 기술 발전으로 취약점 발견 속도가 급격히 빨라진 만큼 보안 가시성 확보와 개발 전주기에 걸친 자동화된 보안 테스트 체계 구축이 필수라고 강조했다.
이어 발표에 나선 장일수 스패로우 대표는 “생성형 AI를 통한 코드 생성과 수많은 오픈소스 패키지 활용이 혼재되면서 가시성 부재, 라이선스 리스크, 취약점 대응 지연 등 관리적 한계에 부딪히고 있다”고 지적하며 “이를 해결하기 위해 AI 모델, AI 생성 코드까지 투명하게 추적할 수 있도록 SBOM(SW 자재명세서)의 관리 범위를 확장해야 한다”고 역설했다. 장 대표는 ”생성된 SBOM에 디지털 서명을 추가해 무결성을 검증하고, SBOM을 주고받은 공급사와 수요사를 시각화함으로써 신뢰할 수 있는 공급망 보안 생태계를 구축해야 한다”고 덧붙였다.
이후 세션에서는 △AI 개발 환경에서의 SW 개발 보안 도입 전략 △스패로우 핵심 로드맵 오버뷰 △실제 사례로 보는 개발 보안 사고의 패턴과 이유 등이 소개됐다. 특히 ‘생성형 AI 코딩의 보안 위협 및 대응 방안’ 발표에서는 AI 중심의 개발 패러다임 변화에 따른 실질적인 보안 대책을 제시해 눈길을 끌었다.
해당 발표에서는 바이브 코딩(Vibe Coding) 확산으로 개발 환경이 급변하고 있으나 생성형 AI가 안전하지 않은 코드를 생성할 수 있음을 지적하고, 이에 대한 해결책으로 코드 생성 시점부터 보안 검증을 수행하는 ‘스패로우 MCP(Model Context Protocol)’를 제안했다. 개발자는 스패로우 MCP로 개발 흐름을 유지하면서 코드의 안전성도 확보할 수 있다.
한편 스패로우는 이번 ‘SAI 2026’에서 선보인 ‘스패로우 MCP’를 조만간 정식 출시한다. 이를 통해 급변하는 AI 개발 환경 속에서도 고객들이 보안 공백을 최소화해 안전하고 신뢰할 수 있는 SW 공급망을 구축할 수 있게 지원한다.
스패로우는 국내 애플리케이션 보안 테스팅 부문 공공 시장 점유율 1위 기업이다. 소프트웨어 개발 주기의 모든 단계에서 보안 취약점과 품질 이슈를 검출하고 보안 테스트 자동화를 통해 DevSecOps를 구현할 수 있게 지원한다.
소스코드 보안약점 분석, 웹 취약점 분석, 소프트웨어 구성요소 분석 등 개발, 테스트, 운영 단계에 걸쳐 다양한 AST(application Security Testing) 도구를 제공하며, 독자적인 기술력을 바탕으로 국내는 물론 글로벌 시장에서의 경쟁력을 지속적으로 높여가고 있다. 현재까지 한국인터넷진흥원, 한국전력공사를 비롯한 정부 및 공공기관과 다수의 금융기관, 일반 기업에서 스패로우 제품을 사용하고 있다. 조직 규모나 비즈니스 환경에 따라 구축형, 클라우드형, API형 중 선택해 사용할 수 있다.