현대 기업의 애플리케이션과 소프트웨어 스택은 방대하고 복잡해져 사람의 이해 범위를 넘어섰다. 그 결과, 보안 사고 대응 시 시스템에 어떤 코드가 구동되고 있었는지 확인하기 어렵고, 소프트웨어 현대화 과정에서도 의존성과 영향 범위를 파악하는 데 한계가 발생한다. 특히 오픈소스 소프트웨어 채택이 늘면서 취약점 관리와 기술 부채 해소가 중요한 과제로 부상해, 이를 해결할 수 있는 정밀한 분석 도구에 대한 수요가 커지고 있다.

글로벌 스타트업 스파이스 랩스(Spice Labs)가 보안 분석 및 소프트웨어 현대화를 위한 신기술 ‘서베이어(Surveyor)’와 ‘토포그래퍼(Topographer)’를 발표했다고 밝혔다. 

이번 발표는 아티팩트 의존성 그래프(Artifact Dependency Graphing) 기술을 기반으로 한 소프트웨어 보안 솔루션 출시라는 점에서 주목된다.

아티팩트 의존성 그래프 기반 분석 기술

서베이어는 내부 보안팀과 외부 컨설턴트가 소프트웨어 아티팩트를 분석할 수 있도록 설계된 오픈소스 패키지다. 깃(Git)과 동일한 수학적 알고리듬을 활용해 소프트웨어 아티팩트 간 의존성을 그래프로 모델링한다. 토포그래퍼는 SaaS 기반 서비스로, 서베이어 결과를 통합해 조직 내 전체 코드, 스택, 시스템을 시각적으로 매핑한다.

이 조합을 통해 기업은 “보안 사고 시 해당 시스템에 어떤 코드가 구동 중이었는가”, “특정 오픈소스 패키지가 어디에 위치하는가”, “해당 패키지의 주요·부 업데이트는 무엇인가”, “CVSS 점수가 시간에 따라 어떻게 개선되었는가”와 같은 질문에 답할 수 있다.

보안 위협 대응 및 현대화 가속화

스파이스 랩스의 솔루션은 복잡하게 얽힌 애플리케이션 구조를 ‘수학적 확신’으로 해석할 수 있다. 이를 통해 보안팀은 공격자가 여러 오픈소스 패키지를 연쇄적으로 악용할 경우 영향을 받을 수 있는 스택 위치를 빠르게 파악할 수 있다.

또한 동시에 다수의 오픈소스 패키지를 업데이트할 경우 어떤 시스템이 영향을 받고, 어떤 영역에 동일한 최적화 적용이 가능한지도 명확하게 확인할 수 있다.

토포그래퍼는 시점별 매핑 비교도 제공한다. 이를 통해 조직은 업데이트·업그레이드 진행 상황을 객관적 지표로 측정해 프로젝트가 계획대로 진행되고 있는지 데이터 기반으로 판단할 수 있다.

서베이어는 스파이스 랩스가 제공하는 오픈소스 패키지로 다운로드할 수 있으며, 분석 결과는 암호화된 아티팩트 의존성 그래프로 생성된다. 이 그래프는 스파이스 랩스 서버에 업로드되어 전 세계 100억 개 이상의 오픈소스 아티팩트 데이터베이스와 비교·통합된다.

토포그래퍼 SaaS는 이를 기반으로 조직의 전체 시스템 구성을 매핑해 가장 포괄적인 애플리케이션·스택·시스템 분석을 제공한다.

스파이스 랩스 창업자이자 CEO인 데이비드 폴락(David Pollak)은 “애플리케이션과 스택의 연결 구조를 매핑함으로써 보안 사고 대응 시 명확한 가시성을 확보할 수 있고, 엔지니어링 리더십은 의사결정의 파급 효과를 실시간으로 파악할 수 있다.”라고 말했다.