(서울=NSP통신) 이복현 기자 = “최근 오픈소스 내 개발 환경을 이용한 소프트웨어 공급망 보안 위협이 커지고 있다. 기업들은 시장 변화 속도에 맞춰 제품과 서비스를 빠르게 개발하기 위해 오픈소스를 활용할 수 밖에 없지만 이를 악용해 유명 개발자의 계정을 탈취하거나 해서 악성패키지를 유포하고 있다. 실제 이런 일이 일어난다면 재앙이 될 수 있다”
체크막스코리아(지사장 송대근)는 오늘(26일) 서울 강남구 봉은사로 인터컨티넨탈서울코엑스 30층 비너스룸에서 기자간담회를 열고 이같이 오픈소스 내 사이버보안 위협에 대해 경고했다.
특히 자키 조렌슈타인 공급망 보안 총괄은 “오픈소스 환경 내 제품 개발 과정에서 사이버 보안 위협이 갈수록 커지고 있다”면서 “이를 해결하기 위해서는 오픈소스의 안정성을 검증해야 한다”고 강조했다.
오픈소스소프트웨어(OSS) 시장동향조사 보고서에 따르면 OSS의 활용률 추이는 지속적으로 증가해 18년 47.5%, 19년 50.7%, 20년 53.2%로 확대되고 있는 상황이다. 이러한 오픈소스 활용 증가와 더불어 소프트웨어 공급망 보안 위험도 커지고 있다는 분석이다.
실제 체크막스 보안 연구팀은 최근 수백개에 달하는 악성 오픈소스 패키지를 파악했으며 이를 체크막스 보안 연구팀도 최근 수백 개에 달하는 악성 오픈소스 패키지를 파악했으며, 이 자리에서도 몇 가지 사례를 들기도 했다.
이에 자키 조렌슈타인 체크막스 공급망 보안 총괄은 “체크막스가 모던 애플리케이션 개발 라이프사이클에 걸친 잠재적 악성 오픈소스 패키지를 파악할 수 있는 체크막스 공급망 보안(Checkmarx Supply Chain Security) 솔루션을 출시했다”며 “이를 통해 문제가 될 수 있는 보안 위협을 예방할 수 있다”고 밝혔다.
체크막스 공급망 보안 솔루션은 체크막스 소프트웨어 구성 분석(Checkmarx Software Composition Analysis, SCA)과 함께 작동해서 ▲오픈소스 프로젝트의 건전성과 보안 이상 징후를 파악하고 ▲기여자 평판(contributor reputation) 을 분석하며 ▲디토네이션 챔버(detonation chamber) 내 분석을 통해 패키지 행태를 분석하고 직접 정보를 확인한다. 이를 통해 소프트웨어 공급망 전 영역에 걸친 분석과 인사이트를 통해 기업 애플리케이션 보안의 중대한 공백을 메울 수 있다고 설명했다.
특히 체크막스 공급망 보안 솔루션을 통해 기업들은 ▲패키지의 건전성과 소프트웨어 자재명세서(SBOM) ▲악성 패키지 탐지 ▲기여자 평판 ▲행위 분석 ▲지속적 결과 처리 등의 필수적 역량을 이용해서 오픈소스 소프트웨어를 안전하게 활용, 모던 애플리케이션 개발을 가속화할 수 있다고 덧붙였다.
더불어 송대근 체크막스코리아 지사장은 ‘안전한 소프트웨어 개발(Security by Design)을 위한 3가지 제안’을 주제로 발표를 진행했다.
송대근 지사장은 소프트웨어 개발 환경을 언급하며 “클라우드 기반의 데브섹옵스(DevSecOps)를 도입하려면 소프트웨어 개발 과정(SDLC)에 어떻게 보안을 내재화할 것인지가 중요하다”고 말했다.
특히 송 지사장은 안전한 소프트웨어 개발(Security by Design)을 위한 3가지 해결책으로 ▲Build/CI 솔루션을 통한 자동화된 보안 취약점 점검 절차 확립 ▲오픈소스 취약점 관리 ▲맞춤형 가이드를 통한 개발자 보안 역량 강화를 꼽았다. 이를 통해 ▲애플리케이션 보안 취약점 제거 ▲오픈소스 애플리케이션 보안 취약점 및 라이선스 규정 위반 예방 ▲전문가 서비스 및 시큐어 코딩 역량 강화 등의 기대효과를 제공한다고 강조했다.
한편 애드리안 옹(Adrian Ong) 체크막스 북아시아 영업총괄 부사장은 “오픈소스 위험에 대응하기 위해 한국의 파트너기업을 찾고 있다”며 “이스라엘의 경우 총리실과 미국에서는 바이든 행정부 보안 담당과 협력하는 것처럼 한국에서 함께 할 수 있기를 바란다”라고 말했다.
NSP통신 이복현 기자 bhlee2016@nspna.com
저작권자ⓒ 한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.