증가하는 오픈소스 패키지, 코드 분석·사용자 평판 등으로 위험성 '제로'로 만든다

 

체크막스코리아(이하 체크막스)가 오픈소스 환경에서 소프트웨어를 개발할 때 발생할 수 있는 보안 위협을 소개하고, 그에 따른 해결 방안을 제시했다. 

 

지난해 12월, 소규모 기자간담회를 가졌던 체크막스는 26일인 오늘 인터컨티넨탈 서울 코엑스에서 기자간담회를 열고 오픈소스 내 사이버 보안 위협과 해결 방안, 안전한 소프트웨어 개발을 위한 제안 등을 소개했다. 

 

 

특히 이 자리에는 체크막스코리아의 송대근 지사장을 비롯해 체크막스의 북아시아 영업총괄인 애드리안 옹(Adrian Ong) 부사장, 한국을 처음 방문한 자키 조렌슈타인(Tzachi Zorenshtain) 공급망 보안 총괄도 참석해 국내 보안 시장에 대한 기대감을 드러냈다. 

 

체크막스는 기하급수적으로 성장하는 오픈소스 환경을 주목했다. 이날 자키 조렌슈타인 총괄은 '오픈소스 내 사이버 보안 위협과 해결 방안'이라는 주제로 첫 발표를 진행하며, 발표 중에도 오픈소스 환경의 위험성을 지속해서 강조했다. 

 

오픈소스는 소프트웨어 및 서비스 개발에 있어 필수불가결한 요소가 됐다. 개발자는 오픈소스 내 방대한 소스코드를 탐색하고 선택해 서비스 콘셉트에 적합한 개발을 진행한다. 무엇보다 개발자가 오픈소스를 활용하는 가장 큰 이유는 신속한 '개발 속도'다. 오픈소스 활용으로 개발 과정을 단축해 서비스 출시 시기을 앞당길 수 있는 것이다. 

 

여기에서 보안에 대한 문제가 발생한다. 소프트웨어 개발이 활발해지는 만큼 보안에 대한 위험성도 높아진다. 오픈소스 환경에서 소스코드를 발굴하고 탐색하는 과정, 내부에서 개발된 코드와 오픈소스 패키지를 활용하는 과정, 개발된 패키지를 출시하는 과정 등 모든 과정에서 보안 위협은 존재한다. 

 

가트너는 2025년까지 60%의 기업이 공급망 보안 공격에 대비해 소프트웨어 딜리버리 파이프라인을 강화할 것이라고 예상했다. 체크막스 보안 연구팀은 최근까지 수백 개에 달하는 악성 오픈소스 패키지를 파악했으며, 이를 의존성 혼동, 타이포스쿼팅, 체인잭킹 등 크게 세 가지 유형으로 분류하기도 했다. 

 

 

자키 조렌슈타인 총괄은 "개발자들은 자신이 활용하 오픈소스가 정확히 무엇인지 인지하지 못하는 경우가 많다. 오픈소스 패키지가 가진 위험성은 미지수며, 그 패키지 안에 또 다른 패키지가 존재할 가능성도 다분하다. 이처럼 오픈소스 패키지는 마치 정글과 같다"고 말했다. 

 

이어 그는 "악성 패키지는 계정을 탈취하거나 코드를 삭제시키거나 고유 정보를 암호화하는 등 위험성을 내포하고 있다. 반면, 오픈소스 패키지는 지금도 증가하고 있다. 개발자 입장에서는 오픈소스에 대한 위험성을 인지하다 보니 사용에 대한 딜레마에 빠지기도 한다"고 덧붙였다. 

 

이에 자키 조렌슈타인 총괄은 체크막스가 모던 애플리케이션 개발 라이프사이클에 걸친 잠재적 악성 오픈소스 패키지를 파악하는 '체크막스 공급망 보안' 솔루션을 개발했다고 밝혔다. 

 

체크막스 공급망 보안 솔루션은 체크막스 소프트웨어 구성 분석과 함께 작동해서 오픈소스 프로젝트의 건전성과 보안 이상 징후를 파악하고 '기여자 평판'을 분석하며, '디토네이션 챔버' 내 분석을 통해 패키지 행태를 분석하고 직접 정보를 확보한다. 

 

이를 통해 체크막스는 고객사에 소프트웨어 공급망 전 영역에 걸친 분석과 인사이트를 제공하고 기업 애플리케이션 보안의 공백을 메우는데 주력하고 있다. 특히 고객사는 패키지의 건전성과 소프트웨어 자재명세서(SBOM), 악성 패키지 탐지, 기여자 평판, 행위 분석, 지속적 결과 처리 등의 필수적 역량을 이용해 오픈소스 소프트웨어를 안전하게 활용, 모던 애플리케이션 개발을 가속화할 것으로 보인다.

 

 

이어진 발표에서 애드리안 옹 부사장은 "보안에 있어 한국이라는 브랜드가 가진 역량을 생각해볼 필요가 있다. 국내 주요 기업에 소속된 개발자가 사용한 코드에 악성 패키지가 포함됐다면, 전 세계에 미칠 파급력은 재앙과 같다"고 표현했다. 

 

애드리안 옹 부사장은 "체크막스는 악성 패키지를 막아낼 솔루션이 있다. 체크막스는 한국 시장이 안정된 보안 역량을 갖추길 기대하며, 이를 위해 국내 기업, 공공 기관과 협업하기 위해 노력하고 있다"고 말했다.

 

한편, 송대근 지사장은 '안전한 소프트웨어 개발을 위한 세 가지 제안'을 주제로 발표를 진행했다. 송대근 지사장은 소프트웨어 개발 환경을 언급하며, 클라우드 기반의 데브섹옵스를 도입하려면 소프트웨어 개발 과정에 어떻게 보안을 내재화할 것인지가 중요하다고 강조했다. 

 

송대근 지사장은 "오픈소스는 새로운 보안 영역이다. 비즈니스 환경이 바뀌다 보니 개발 환경도 변하기 때문이다. 쇼핑, 교통 등과 관련한 서비스를 개발하는 입장에서는 시장의 소비 트렌드를 파악하고 그에 맞게 서비스를 시장에 출시할 수 있어야 한다"고 언급했다. 

 

송 지사장은 "이에 기업들은 정해진 기한 안에 서비스를 출시하도록 클라우드 기반 인프라와 데브섹옵스 환경을 채택하고 있다. 특히 데브섹옵스 환경을 구축하기 위해서는 프레임워크나 툴이 자동화해야 하고, 보안이 개발 과정 안에 녹아져야 한다. 결국 완성도가 높은 서비스를 출시하기 위해서는 보안 역량이 강해져야 한다"고 강조했다. 

 

이에 송 지사장은 안전한 소프트웨어 개발을 위한 세 가지 해결책으로 Build/CI 솔루션을 통한 자동화된 보안 취약점 점검 절차 확립, 오픈소스 취약점 관리, 맞춤형 가이드를 통한 개발자 보안 역량 강화를 꼽았다.

 

이를 통해 애플리케이션 보안 취약점 제거, 오픈소스 애플리케이션 보안 취약점 및 라이선스 규정 위반 예방, 전문가 서비스 및 시큐어 코딩 역량 강화 등의 기대효과를 제공한다고 말했다. 

 

헬로티 서재창 기자 |