🛡️ 레드펜소프트, SW 공급망 보안의 새로운 기준을 제시하다

소프트웨어(SW) 공급망 공격은 이제 사이버 위협의 주된 경로가 되었습니다. 특히, 북한을 배후로 한 해킹 조직들이 한국 소프트웨어 생태계를 정조준하면서, 개발사뿐 아니라 이를 사용하는 수요기업까지 전방위적인 보안 대응이 필요해졌습니다.

이에 레드펜소프트는 VEX(Vulnerability Exploitability eXchange) 를 중심으로 하는 신뢰 기반의 보안 전략을 발표하며, SW 공급망 전반의 보호 체계를 강화하고 있습니다.

---

🎯 북한 배후 해킹 조직, 한국 SW 생태계 집중 공격

최근 한국인터넷진흥원(KISA)은 북한 연계 해킹 그룹이 한국의 SW 개발·유통 생태계를 타깃으로 공격을 확대 중이라는 사실을 공식 발표했습니다. 이들은 정상적인 소프트웨어로 위장된 악성코드를 공급망을 통해 전파하거나, 공급자와 수요자 간 연결 지점을 침해하는 방식으로 위협을 가하고 있습니다.

---

🔐 레드펜소프트의 대응: VEX를 활용한 공급망 보안 체계

레드펜소프트는 이러한 위협에 대응하여, 자체 개발한 공급망 보안 솔루션 **‘XSCAN’**에 VEX 정보 연계 기능을 도입했습니다.
이 시스템은 단순히 취약점을 나열하는 데 그치지 않고, 다음과 같은 차별성을 지니고 있습니다:

• VEX 기반 분석으로 취약점의 실제 영향도 구분
  → 단순 CVE 나열이 아닌, 해당 취약점이 실제 악용 가능한지 여부를 판별합니다.
• 악성 코드·취약점 탐지 후 ‘영향 없음’까지 명확히 전달
  → 개발사 또는 보안담당자가 “조치가 필요한 취약점”과 “비영향 취약점”을 구분할 수 있어 효율적 대응이 가능합니다.
• SBOM(소프트웨어 자재 명세서)와 연계된 실시간 보안 상태 진단
  → 고객사는 공급받은 SW가 어떤 컴포넌트로 구성되었고, 어떤 위협이 존재하며, 그것이 실제로 위험한지까지 파악할 수 있습니다.

---

🤝 “공급망의 양 끝단을 동시에 보호”

레드펜소프트는 단순히 개발사에 보안 점검 도구를 제공하는 것을 넘어서, 수요기업의 보안 판단까지 지원합니다.
즉, 공급자는 ‘안전한 소프트웨어를 만들고’, 수요기업은 ‘해당 소프트웨어가 안전하다는 증거를 수신’할 수 있도록 돕는 구조입니다.

이는 단순 보안도구 제공이 아닌, 공급망 전반의 신뢰 체계를 구축하는 전략으로 평가받고 있습니다.

---

🔍 결론: 공급망 보안, 선택이 아닌 필수

오늘날 공급망은 제품 유통 경로 그 이상입니다. 그것은 곧 기업의 신뢰, 사회의 안전과 직결되는 핵심 요소입니다.
레드펜소프트는 VEX와 SBOM 연계를 기반으로, ‘무엇이 위험한가’가 아니라 ‘실제로 영향을 주는가’를 판단하는 수준 높은 보안 체계를 제공하며, 국내 SW 생태계의 보안 수준을 한 단계 끌어올리고 있습니다.

---

👉 자세한 내용은 원문 기사 참고:
📎 https://www.datanet.co.kr/news/articleView.html?idxno=201647

레드펜소프트 “개발사부터 수요기업까지 중단없는 SW 공급망 보호” - 데이터넷