애플리케이션보안 전문기업 스패로우(대표 장일수)의 소프트웨어 취약점 분석 도구 3총사 ▲Sparrow SAST/SAQT ▲Sparrow DAST ▲Sparrow SCA가 지난해에도 공공조달의 각 부문에서 점유율 1위 자리를 수성한 것으로 나타났다. 스패로우는 기획재정부, 주택도시보증공사, 한국남동발전, 강원랜드, 천안시청 등에 제품을 공급하며 공공기관의 사이버보안 강화를 이끌었다.

스패로우의 대표 제품인 'Sparrow SAST/SAQT'는 국내 공공조달 시장에 가장 먼저 공급된 소스코드 정적 분석 솔루션이다. 22일 회사에 따르면, 2024년 해당 부문에서 시장점유율 약 80%를 기록하며 10년 연속 1위를 달성했다.

'Sparrow SAST/SAQT'는 소스코드 보안 약점과 품질 결함을 분석하는 것은 물론, 실제 코드를 기반으로 취약점 발생 위치와 함께 안전한 코드 예시를 제공, 실질적인 해결방안을 제시한다. C/C++, 자바(Java), 파이선(Python), 전자정부프레임워크 등 25개 이상의 언어 및 프레임워크를 지원하며, 행정안전부의 SW 보안약점 진단가이드를 포함한 주요 점검 기준으로 코드를 분석해 SW 품질과 안정성을 확보할 수 있게 해준다.

'Sparrow DAST'는 웹 애플리케이션 취약점 분석 부문에서 지난해 시장점유율 97%를 기록하며 4년 연속 1위를 기록했다. 해당 제품은 주요정보통신기반시설 취약점 분석·평가 기준, OWASP Top 10 등의 점검 기준으로 운영 환경에서 발생 가능한 웹 애플리케이션 취약점을 분석해준다. 취약점 분석 과정을 재현하는 기능으로 취약점 발생 원인을 확인할 수 있으며, 검출된 취약점을 건별로 이행진단할 수 있어 공공기관 웹 서비스의 보안성을 강화할 수 있다고 회사는 설명했다.

'Sparrow SCA'는 SBOM(소프트웨어 자재명세서) 기반으로 SW 위험 관리가 가능한 제품이다. 지난 2022년 국내 최초로 공공조달 시장에 선보인 이래 지속적으로 해당 시장에서 1위 자리를 수성하고 있다. 특히 'Sparrow SCA'는 소스 코드 또는 바이너리 분석을 통해 오픈소스 라이선스를 식별하고, 라이선스 유형 및 고지의무 등의 정보를 제공한다. 'Log4j'와 같은 오픈소스 취약점이 발견되면 안전한 버전으로 업데이트할 수 있도록 안내하며, SBOM을 CycloneDX, SPDX, NIS SBOM 등의 다양한 표준 형식으로 생성 및 관리할 수 있다.

스패로우 장일수 대표는 “SW 공급망 보안 위협이 증가함에 따라, 공공기관이 제공하는 대국민 서비스에 더욱 강력한 보안 체계가 요구된다”며 “공공조달 시장에서 독보적인 1위를 차지하고 있는 스패로우는 개발부터 운영까지 SW 개발 전주기에 걸친 보안 취약점 분석을 지원해 공급망 보안 강화가 가능한 만큼, 공공기관이 신뢰받는 디지털 서비스를 제공하는데 기여할 수 있도록 연구와 개선을 지속해 나갈 것”이라고 말했다.

한편, 스패로우는 2025년 상반기 조달 이벤트를 다음달 30일까지 진행한다. 조달청 디지털서비스몰에 등록된 Sparrow SAST/SAQT, Sparrow DAST, Sparrow SCA 중 1개 이상 구매한 고객에게는 SW 공급망 보안 컨설팅 1회를, 2개 이상 동시에 구매한 고객에게는 SW 취약점을 한 곳에서 분석하고 관리할 수 있는 통합 플랫폼 Sparrow Enterprise를 제공한다. 자세한 사항은 스패로우 홈페이지에서 확인할 수 있다.