임베디드 소프트웨어 소스에 숨은 오픈소스 코드를 직접 검출… CycloneDX SBOM·CVE 취약점·라이선스 컴플라이언스를 하나의 파이프라인으로
세온이앤에스가 임베디드 오픈소스 SBOM·취약점 자동 분석 솔루션 ‘Seon Code Analyzer’를 출시했다
세온이앤에스(대표 정태하)가 C/C++ 임베디드 소프트웨어에 포함된 오픈소스 구성요소를 자동으로 분석해 SBOM(소프트웨어 자재명세서)과 취약점·라이선스 리포트까지 생성하는 ‘Seon Code Analyzer’를 출시했다고 6월 29일 밝혔다.
각국이 SBOM 관리 중요성(미국 행정명령 14028, EU 사이버복원력법 CRA 등)에 주목하면서 소프트웨어 공급망 보안이 핵심 과제로 떠올랐지만, 임베디드 제품은 의존성 선언 없이 소스에 직접 복사돼 들어간 오픈소스가 많아 패키지 매니페스트 분석만으로는 상당수가 누락된다. 그 결과, 보안·품질팀은 방대한 펌웨어 코드를 일일이 수작업으로 대조해야 하는 부담을 안고 있었다.
Seon Code Analyzer는 코드를 직접 분석해 의존성 선언이 없어도 실제 사용된 오픈소스를 찾아낸다. 특히 분석 과정에서 원본 소스코드는 서버로 전송하지 않고 코드의 디지털 지문만을 사용하도록 설계해 고객사 핵심 코드(IP) 유출 우려를 낮춘 점이 특징이다.
검출 결과는 국제 표준 CycloneDX 형식의 SBOM과 NVD·OSV 기반 CVE 취약점 정보(미국 CISA의 ‘알려진 악용 취약점(KEV)’ 포함), SPDX 라이선스 컴플라이언스 리포트로 한 번에 산출된다. 증거 점수 기반의 자동 검토 기능으로 사람의 검토 부담을 줄였으며, 폭넓은 오픈소스 라이브러리 데이터베이스를 토대로 검출 범위를 넓혔다.
세온이앤에스는 의존성 파일을 읽는 일반적인 SCA(소프트웨어 구성 분석) 도구와 달리 코드 자체를 대조해 복사·이식된 오픈소스까지 잡아내면서 SBOM·취약점·라이선스를 단일 흐름으로 묶은 사례는 국내에서 드물다고 설명했다.
세온이앤에스 신승환 상무는 “임베디드 기기가 OTA(무선 업데이트)로 끊임없이 갱신되는 환경에서 어떤 오픈소스가 어떤 버전으로 들어갔는지 수작업으로 추적하는 것은 한계가 분명하다”며 “코드 한 줄까지 근거로 제시하는 검출과 표준 SBOM 자동화로 규제 대응과 보안 점검 비용을 동시에 줄일 수 있을 것”이라고 말했다.
세온이앤에스는 오는 7월 1일 수원 컨벤션센터에서 열리는 ‘AID 2026’ 행사에서 Seon Code Analyzer의 데모를 직접 체험할 수 있는 기회를 제공한다.
uapple
기자
피플스토리 uapple © PEOPLE STORY All rights reserved.
피플스토리 uapple의 모든 콘텐츠(기사 등)는 저작권법의 보호를 받은바, 무단 전재, 복사, 배포 등을 금합니다.
RSS