“내가 개발자라면 어떻게 현명한 선택을 할 수 있을까?” 최근 소프트웨어 공급망에서 보안 문제가 점점 심각해지고 있다는 주장이 나왔다. 자키 조렌슈타인 체크막스 공급망 보안 총괄은 새롭게 나오는 소프트웨어 및 애플리케이션의 증가에 따라 이에 대한 공격도 함께 증가한다고 언급했다. 체크막스는 이러한 공격자들을 추적하고 악성 패키지를 제거하는 데 집중하고 있다.
▲26일 체크막스 기자 간담회에서 송대근 체크막스코리아 지사장(사진-체크막스코리아)
“기여자 평판만 믿어서는 안 돼”...체크막스 보안 솔루션 제시
Bulid/CI솔루션·취약점 관리·맞춤형 가이드로 보안 역량 강화
“내가 개발자라면 어떻게 현명한 선택을 할 수 있을까?”
최근 소프트웨어 공급망에서 보안 문제가 점점 심각해지고 있다는 주장이 나왔다. 자키 조렌슈타인 체크막스 공급망 보안 총괄은 새롭게 나오는 소프트웨어 및 애플리케이션의 증가에 따라 이에 대한 공격도 함께 증가한다고 언급했다. 체크막스는 이러한 공격자들을 추적하고 악성 패키지를 제거하는 데 집중하고 있다.
오픈소스 기반 개발 환경은 신속한 업데이트와 최신 트렌드 반영이 빠른 장점이 있지만 신뢰성 및 지속성 있는 보안관리에 어려움이 있어 소프트웨어(SW) 개발자들에게 딜레마일 수밖에 없다.
26일 체크막스코리아는 기자간담회를 열어 오픈소스 내 사이버 보안위협에 대응하는 안전한 소프트웨어 개발에 필요한 3가지 솔루션을 제안했다.
■오픈소스 보안, 제로 트러스트에 준한 보안 필요
▲자키 조렌슈타인 체크막스 공급망 보안 총괄
(사진-체크막스코리아)
“오픈소스 일부에 제로 트러스트 개념을 적용할 필요가 있으며 코드를 검증해야 한다”며 “개발자 평판을 믿지 말라”고 자키 조렌슈타인 공급망 보안 총괄은 조언했다.
IT분야 리서치 기관 가트너는 “2025년까지 60%의 기업이 공급망 보안 공격에 대비해 소프트웨어 딜리버리 파이프 라인을 강화할 것”이라고 예상한 바 있다. 게다가 체크막스 보안연구팀도 최근 수백개에 달하는 악성 오픈소스 패키지를 파악했으며, 이들을 △의존성 혼동 △타이포스쿼팅(Typosquatting) △체인잭킹(Chainjacking) 등 크게 세 가지 유형이 있다고 설명했다.
자키 총괄은 “작년 한 해 악성패키지 증가율은 600%였는데 올해는 이보다 높을 것”이라며 “레드릴리(Red Lili)라는 조직은 한 달만에 1,500개의 악성패키지를 만들 고 있다”고 언급했다.
그는 “체크막스가 모던 애플리케이션의 개발 주기에 걸쳐 잠재적 악성 오픈소스 패키지를 파악할 수 있는 ‘체크막스 공급망 보안’솔루션을 출시했다”며 “이를 통해 보안위협을 예방할 수 있다”고 강조했다.
'체크막스 공급망 보안' 솔루션은 체크막스 소프트웨어 구성 분석(Checkmarx Software Composition Analysis, SCA)과 함께 작동해 오픈소스 프로젝트의 건전성과 보안 이상 징후를 파악한다. 또한 '기여자 평판(contributor reputation)'을 분석하며 '디토네이션 챔버(detonation chamber)' 내 분석을 통해 패키지 행태를 분석하고 직접 정보를 확보한다.
이를 통해 소프트웨어 공급망 전 영역에 걸친 분석과 인사이트를 통해 기업 애플리케이션 보안의 중대한 공백을 메울 수 있다는 것이다.
그는 기자간담회에서 사례를 들어 설명했는데 오픈소스 기여자는 단순 변심으로 인해 건강한 오픈소스에 악성코드를 심거나 특정 의도를 가지고 멀웨어를 유포하기도 한다고 설명했다. 최근 러시아-우크라 전쟁으로 인해 이를 개탄하기 위해 벨라루스와 러시아 지역 사용자에게만 작동하는 악성코드를 심어 유포한 사건이 있었다고 언급했다.
특히 체크막스 공급망 보안 솔루션을 통해 기업들은 △패키지의 건전성과 소프트웨어 자재명세서(SBOM) △악성 패키지 탐지 △기여자 평판 △행위 분석 △지속적 결과 처리 등의 필수적 역량을 이용해서 오픈소스 소프트웨어를 안전하게 활용, 모던 애플리케이션 개발을 가속화할 수 있다고 설명했다
■한국이 직면한 보안 문제
▲애드리안 옹 체크막스 북아시아 영업 총괄 부사장
(사진-체크막스코리아)
한국은 모바일, IoT, 커넥티드카 등 거대한 첨단 IT산업을 영위하고 있다. 만약 개발자들이 검증되지 않은 패키지를 사용해 그 안에 악성코드가 숨어있다면, 자율주행차 혹은 IoT, 스마트 팩토리, 병원 의료 시스템 등이 마비되는 상태가 벌어질 수도 있다.
이날 기자간담회에 참석한 애드리안 옹 북아시아 영업 총괄 부사장은 “한국 브랜드에 미치는 영향은 재난 수준일 것이다”라며 “이는 개발자가 잘못된 것이 아님에도 벌어질 수 있는 일이다”라고 말했다.
송대근 지사장은 “오픈소스를 사용하지 않고는 새로운 앱 출시 거의 불가능한 시장”이라며 “소비자 트렌드가 빠르기에 개발환경도 빠르게 변화한다”고 설명했다. 이러한 소프트웨어 개발 환경을 언급하며, 클라우드 기반의 데브섹옵스(DevSecOps)를 도입하려면 소프트웨어 개발 과정(SDLC)에 어떻게 보안을 내재화할 것인지가 중요하다고 강조했다.
송 지사장은 안전한 소프트웨어 개발(Security by Design)을 위한 3가지 해결책으로 △Build/CI 솔루션을 통한 자동화된 보안 취약점 점검 절차 확립 △오픈소스 취약점 관리 △맞춤형 가이드를 통한 개발자 보안 역량 강화를 꼽았다. 이를 통해 △애플리케이션 보안 취약점 제거 △오픈소스 애플리케이션 보안 취약점 및 라이선스 규정 위반 예방 △전문가 서비스 및 시큐어 코딩 역량 강화 등의 기대효과를 제공한다고 강조했다.
한편, 체크막스는 지난해 10월 국내 진출 이후 활발히 국내 비즈니스를 전개해 나가고 있다. 개발 및 보안 팀에 독점 코드, 오픈 소스, API 및 코드형 인프라(IaC)를 포함한 현대적 소프트웨어의 모든 구성 요소에 걸쳐 위험을 줄일 수 있는 솔루션을 제공하고 있다.
현재 성장하고 있는 웹과 애플리케이션 보안 분야에 집중하고 있지만 향후 사업 전략에 있어서 한국의 발전된 임베디드 시장 및 자율주행, 스마트폰, 스마트팩토리 등 첨단 IT산업 SW 보안 분야에도 진출을 구상하고 있다고 밝혔다.
