---
category: Unified
tags: [auto-consolidated, technical-documentation]
title: [[Software Composition Analysis (SCA)|Software Composition Analysis (SCA]]
last_updated: 2026-05-02
---

# [[Software Composition Analysis (SCA)|Software Composition Analysis (SCA]]

## 📌 Brief Summary
> "애플리케이션을 구성하는 외부 오픈소스 컴포넌트와 서드파티 의존성을 스캔하여, 알려진 보안 취약점(CVE)과 법적 라이선스 리스크를 사전에 차단하는 '공급망 보안(Supply Chain Security)'의 핵심 엔진."

---

소프트웨어 구성 분석(SCA)은 코드베이스가 의존하고 있는 오픈소스 패키지, 서드파티 라이브러리의 버전, 라이선스, 그리고 알려진 보안 취약점을 식별하고 관리하는 보안 분석 기법입니다 [1, 2]. 현대의 소프트웨어 환경에서 SCA는 주로 SAST(정적 분석) 등과 함께 개발 및 CI/CD 파이프라인에 통합되어 소프트웨어 공급망 리스크를 줄이는 데 사용됩니다 [3, 4]. 최신 SCA 도구들은 취약점의 단순 발견을 넘어 실제 도달 가능성(reachability)을 평가하고 소프트웨어 자재 명세서(SBOM)를 자동 생성하는 기능을 제공합니다 [2, 5].

## 📖 Core Content
SCA는 프로젝트의 외부 의존성을 관리하고 보안 무결성을 검증합니다.

1.  **의존성 및 취약점 스캔**:
    *   NPM, Maven, PyPI 등 프로젝트에 포함된 오픈소스 라이브러리를 스캔하여 CVE(알려진 취약점) 데이터베이스와 대조합니다.
    *   취약한 버전의 라이브러리가 사용될 경우 경고를 보내고 안전한 버전으로의 업데이트를 제안합니다.
2.  **라이선스 및 지적 재산권 보호**:
    *   오픈소스 라이선스(예: AGPL vs MIT) 충돌을 감지하여 법적 리스크를 방어합니다.
    *   특히 AI 생성 코드가 라이선스 보호 코드를 무단 복제하여 병합하는 상황을 식별하는 데 유용합니다.
3.  **CI/CD 품질 게이트**:
    *   코드 리뷰 이전 단계에서 취약한 패키지를 자동으로 차단하여, 인간 리뷰어의 검토 부담을 대폭 낮춥니다.

---

* **외부 의존성 및 오픈소스 취약점 탐지:** 복잡한 코드베이스는 수많은 외부 의존성(Dependencies)을 가집니다. SCA는 이러한 외부 구성 요소들의 버전, 라이선스, 공표된 보안 취약점을 분석하여 애플리케이션의 안정성과 보안에 미치는 중대한 영향을 파악합니다 [1, 2].
* **도달 가능성 기반 분석 (Reachability-based SCA):** DeepSource나 Semgrep과 같은 최신 분석 도구들은 단순히 취약한 버전을 포함하고 있는지만 검사하는 것이 아니라, 해당 오픈소스 패키지의 취약한 코드 경로에 실제 애플리케이션 코드가 도달(reach)할 수 있는지를 분석합니다. 이를 통해 수많은 알림 중 실제로 수정이 필요한 것을 선별합니다 [2, 5].
* **라이선스 컴플라이언스 및 SBOM 생성:** 외부 의존성 코드의 라이선스가 조직의 법적 정책과 충돌하지 않는지 감사(audit)하며, 시스템을 구성하는 구성 요소들의 목록인 소프트웨어 자재 명세서(SBOM)를 생성하여 공급망 보안 및 규제 준수(Compliance) 요건을 충족하도록 지원합니다 [5, 6].
* **플랫폼 기반의 통합 워크플로우:** SCA는 단일 도구로 사용되기보다 Cycode, Checkmarx, SonarQube 등과 같이 SAST, DAST, ASPM(애플리케이션 보안 태세 관리)을 함께 제공하는 플랫폼 내에 통합되어 작동합니다. 이를 통해 보안 팀은 다중 스캐너의 결과를 중앙에서 상관분석(correlate)하여 코드 리뷰 및 병합(Merge) 전에 이슈를 차단할 수 있습니다 [4, 7-9].

## ⚖️ Trade-offs & Caveats
- **내부 로직 검증의 부재**: SCA는 '알려진 위협'을 찾는 도구입니다. 개발자가 직접 작성한 소스 코드 내부의 고유한 로직 오류나 제로데이 취약점은 탐지할 수 없으므로 SAST와의 병행이 필수적입니다.
- **도달 가능성(Reachability)의 문제**: 방대한 취약점 목록 중 실제 비즈니스 로직에서 호출되어 타격을 줄 수 있는 취약점을 우선순위화하는 정책이 운영 효율성을 결정짓는 핵심 업데이트가 될 것입니다.

---

* **도입 및 통합 비용의 문제:** Snyk와 같이 모듈화된 도구에서 SCA를 포함한 광범위한 코드 분석 커버리지를 달성하려면 여러 모듈을 추가로 채택해야 하므로 비용 및 관리 복잡성이 증가할 수 있습니다 [10].
* **리소스 소모 및 파이프라인 지연:** Checkmarx나 Fortify와 같은 대규모 엔터프라이즈 통합 분석 플랫폼(SAST, SCA, DAST 포함)은 스캔 속도가 상대적으로 느릴 수 있어 CI/CD 파이프라인 성능에 영향을 주거나, 온프레미스 환경에 구축 시 복잡성이 매우 높다는 단점이 있습니다 [11-14].
* **경고 피로도 (Alert Fatigue):** 도달 가능성 검증이나 AI 기반의 노이즈 필터링 로직이 충분히 정교하지 않은 SCA 도구를 사용할 경우, 실제 악용 가능성이 없는 취약점까지 대량의 오탐(False Positive) 경고로 발생시켜 개발자의 피로도를 높이고 신뢰를 떨어뜨릴 수 있습니다 [15, 16].

## 🔗 Knowledge Connections
- [[SAST (Static Application Security Testing)|SAST (Static Application Security Testing]]: 내부 소스 분석과의 상호 보완.
- CVE (Common Vulnerabilities and Exposures: 취약점 표준 데이터베이스와의 연결.
- Shift-Left Security: 보안 관리의 조기 도입.
- Dependabot: 자동화된 패키지 업데이트 워크플로우.
- AI-Generated Code Security: AI 생성 코드의 보안 및 저작권 검증.
---

---

### Related Concepts

#### [관계 유형 A (아키텍처/기반 기술)]
* [[의존성 분석 (Dependency Analysis)]]
  * 연결 이유: SCA의 핵심 근간으로, 코드베이스가 외부의 코드나 시스템(라이브러리, 패키지)과 어떻게 얽혀 있는지를 물리적/논리적으로 식별하는 기술입니다 [1, 2].
  * 이 개념을 통해 더 깊게 이해할 수 있는 부분: 마이크로서비스나 대규모 프로젝트에서 서드파티 패키지가 시스템 전체의 아키텍처와 결합도에 미치는 영향을 파악할 수 있습니다.
* [[소프트웨어 자재 명세서 (SBOM)]]
  * 연결 이유: SCA 도구의 주요 출력물 중 하나로, 코드베이스를 구성하는 오픈소스 및 상용 컴포넌트의 명세서입니다 [5].
  * 이 개념을 통해 더 깊게 이해할 수 있는 부분: 소프트웨어 공급망 보안의 가시성과 컴플라이언스 준수, 그리고 규제 요구사항의 대응 방법을 이해할 수 있습니다.

#### [관계 유형 B (구현/활용 도구)]
* [[정적 애플리케이션 보안 테스트 (SAST)]]
  * 연결 이유: SCA와 함께 모던 애플리케이션 보안 테스트 스위트를 구성하는 핵심 요소로, 외부 라이브러리가 아닌 개발자가 직접 작성한 소스 코드 자체의 논리적, 문법적 취약점을 정적으로 분석합니다 [3, 8, 17].
  * 이 개념을 통해 더 깊게 이해할 수 있는 부분: 내부 개발 코드(SAST)와 외부 의존성(SCA) 양쪽 모두의 품질을 관리하는 통합된 개발 및 보안 프로세스(DevSecOps)를 깊이 이해할 수 있습니다.

### Deeper Research Questions
* 도달 가능성(Reachability) 기반의 SCA 분석 기법은 기존의 단순 패키지 버전 매칭 방식과 비교할 때 오탐(False Positive) 비율을 기술적으로 어떻게 줄이는가?
* SAST와 SCA를 단일 보안 플랫폼(예: Cycode, Checkmarx)에서 통합 운영할 때 얻을 수 있는 데이터 상관관계(Correlation) 및 분석 시너지는 무엇인가?
* 심층적인 의존성 트리(Dependency Tree)를 가진 복잡한 시스템에서 간접 의존성(Transitive Dependencies)으로 인해 발생하는 취약점을 SCA는 어떻게 추적하고 시각화하는가?
* SCA 검사가 CI/CD 파이프라인 및 개발자 IDE에 깊게 통합될 때, 빈번한 스캔으로 인한 개발 속도 저하를 방지하기 위해 도구들은 어떤 캐싱 및 최적화 기법을 사용하는가?
* 라이선스 호환성(License compliance) 검증 과정에서 SCA 도구는 오픈소스 간의 충돌을 어떻게 판별하며, 이는 기업의 기술적 제약 사항에 어떠한 영향을 미치는가?

### Practical Application Contexts
* **Implementation:** Semgrep, DeepSource, Cycode 등의 분석 도구를 GitHub PR 워크플로우나 CI/CD에 연동하여, 취약한 패키지가 메인 브랜치로 병합되는 것을 자동 차단합니다 [2, 4, 5].
* **System Design:** 아키텍처 초기 설계 단계에서 도입하고자 하는 외부 프레임워크나 오픈소스의 보안성 및 라이선스 적합성을 평가하는 기준으로 활용합니다 [1, 6].
* **Operation / Maintenance:** 프로덕션에 배포된 시스템에서 구동 중인 외부 라이브러리 목록을 상시 관리하고, 신규 제로데이 취약점(CVE)이 발표되었을 때 즉각적인 위험 영향도 평가를 수행합니다 [18, 19].
* **Learning Path:** 코드베이스 분석 시 내부 로직 파악에서 나아가 '외부 코드가 내 코드에 미치는 영향'으로 시야를 넓히고, 전체 소프트웨어 공급망을 이해하는 방향으로 학습을 확장합니다.
* **My Project Relevance:** 현재 유지보수 중인 코드베이스에서 오래되거나 보안 위험이 존재하는 서드파티 패키지를 식별하고 안전한 버전으로 업그레이드하는 리팩토링 작업을 기획할 때 직접적으로 적용할 수 있습니다.

### Adjacent Topics
* [[애플리케이션 보안 태세 관리 (ASPM)]]
  * 확장 방향: SCA, SAST, 컨테이너 보안, CI/CD 보안 등 분산된 여러 보안 도구의 분석 결과를 중앙집중화하여 가시성을 확보하고 리스크 우선순위를 매기는 상위 개념에 대한 학습 [4, 9].
* [[동적 분석 (DAST)]]
  * 확장 방향: 코드가 정지된 상태(SCA/SAST)에서의 취약점 탐지 한계를 극복하기 위해, 실제로 실행 중인 애플리케이션을 외부에서 공격/테스트하여 문제를 찾는 동적 보안 테스트 방법론 연구 [8, 20].

---
*Last updated: 2026-05-02*