애플리케이션 보안 기업 스패로우(대표 장일수)가 자사의 SaaS형 애플리케이션 보안 취약점 분석 솔루션 ‘스패로우 클라우드(Sparrow Cloud)’가 국가정보원의 보안성 검토를 통과했다고 밝혔다.

국가정보원의 보안성 검토는 국가 중요 정보와 시스템의 안전을 보장하기 위해 정보보호 제품과 서비스의 보안성을 사전에 검증하는 절차를 말한다. 이는 정보보호 제품의 설계 및 운영이 보안 기준에 부합하는지 점검하여, 국가기관 및 공공기관의 정보 자산이 해킹, 데이터 유출 등 사이버 위협으로부터 보호되도록 하는 것을 목표로 한다. 보안성 검토는 신뢰할 수 있는 정보보호 환경을 구축하고, 국가 안보 및 공공 서비스의 연속성을 유지하며, 국민의 개인정보를 안전하게 보호하기 위해 시행된다.

국가·공공기관은 민간 클라우드 컴퓨팅 서비스 이용시 보안 위협을 최소화하기 위해 클라우드서비스 보안인증(CSAP)을 받은 서비스를 도입해야 한다. 시스템의 중요도에 따라 CSAP 외에도 국정원 보안성 검토 과정이 요구될 수 있으며, SaaS는 공통 보안 기준과 함께 △안전한 인증 및 접근 권한 부여 △TLS 등 암호화 프로토콜 적용 △감사기록 관리 등의 추가적인 보안 요건에 부합해야 한다.

스패로우 클라우드는 애플리케이션에 존재하는 보안 취약점을 분석하는 클라우드 서비스로,  소스코드 분석(SAST)·오픈소스 분석(SCA)·웹취약점 분석(DAST)을 모두 제공한다. CSAP를 획득했으며, 망 분리 정책도 지원해 안전하게 사용할 수 있다.

이번에 국정원 보안성 검토를 통과해 인증과 접근, 암호화, 감사기록 등의 추가적인 보안 요건도 충족시켰다. 기관은 별도의 구축비와 유지관리비 없이 이용 요금만으로 지속적인 취약점 점검과 SW 안전 확보가 가능해졌다. 스패로우는 공공 시장 공급 확대에 박차를 가할 방침이다.

한편, 스패로우는 이번 국정원 보안성 검토 통과를 기념해 공공기관을 대상으로 스패로우 클라우드 1+2 프로모션을 진행한다. 스패로우 클라우드가 제공하는 소스코드·오픈소스·웹취약점 분석 서비스 중 하나만 도입해도 세가지 모두 이용할 수 있는 혜택을 제공한다.