[현장] 체크막스, 사이버 공급망 보안 위협 해결방안 제시...'韓'가장 필요한 때

(위) 송대근 체크막스 코리아 지사장, 자키 조렌슈타인 체크막스 공급망 보안 총괄, 애드리안 옹 체크막스 북아시아 영업 총괄 부사장 /최빛나 기자 개발자 중심 애플리케이션 보안 테스팅(Application Security Testing, AST) 솔루션 분야의 글로벌 리더인 체크막스(Checkmarx)가 오픈소스 환경에서 소프트웨어(SW) 개발 시 발생할 수 있는 보안 위협과, 이를 해결하기 위한 방안을 제시했다. 체크막스코리아(지사장 송대근)는 26일 서울 강남구 봉은사로 인터컨티넨탈서울코엑스에서 기자간담회를 열고 ▲오픈소스 내 사이버보안 위협과 해결방안 ▲안전한 소프트웨어 개발(Security by Design)을 위한 3가지 제안 등을 소개하면서 이 같은 방안을 제시했다. 자키 조렌슈타인 체크막스 공급망 보안 총괄은 현장에서 보안 위협과 악성 오픈 소스에 대한 사례를 소개했다. 자키 총괄은 "노트북, 핸드폰 등 대부분의 사람들이 소프트웨어를 사용하고 있다. 이런 소프트웨어를 제작하기 위해 소스가 필요한데, 대부분이 개발자들은 오픈소스를 사용해서 애플리케이션 등을 만든다. 하지만 해당 오픈 소스들은 그 안에 무엇이 들어가 있는지는 아무도 모른다. 오픈 소스는 정글이다. 악성 버전에 사고를 당하는 경우도 많다. 기업뿐만이 아니라 개인들도 당할 수 있다"며 "체크막스는 이런 것을 찾아서 없애는 역할을 한다. 오픈 소스 기여자가 몇개의 허위 계정으로 어떤 악성 오픈 소스를 올리는지, 어떻게 움직이는지, 패키지 안에는 어떤 구성이 들어가 있는 지 등을 레드 릴리와 함께 퍼블릭 페이지를 만들어서 공유하고 있다"고 말했다. 그는 체크막스가 모던 애플리케이션 개발 라이프사이클에 걸친 잠재적 악성 오픈소스 패키지를 파악할 수 있는 '체크막스 공급망 보안(Checkmarx Supply Chain Security)' 솔루션을 출시했다며 이를 통해 문제가 될 수 있는 보안 위협을 예방할 수 있다고 강조했다. 자키는 총괄은 "모든 사람과 기업들이 오픈소스를 사용하고 있는 지금 우리는 사이버 보안 위협에 노출되어 있다.오픈 소스를 믿으면 안된다. 사이버 세계에는 국경이 없다. 의지가 확고한 공격자들은 사냥을 하고 있다. 안전한 오픈 소스를 가려 낼 수 있게 체크 막스의 공급망 보안 솔루션을 이용해야 한다"며 "우리는 악성오픈소스를 공급하고 있는 개발자들을 찾아내고 차단하고 있다. 이를 통해 기업과 사람들은 위협하는 사이버 세계 속에서 보호 받을 수 있다. 실제 체크막스 보안 연구팀은 최근 수백 개에 달하는 악성 오픈소스 패키지를 파악했으며, 이를 의존성 혼동(dependency confusion), 타이포스쿼팅(typosquatting), 체인잭킹(chainjacking) 등 크게 세 가지 유형으로 나눴다. 실제로 가트너도 '2025년까지 60%의 기업이 공급망 보안 공격에 대비해서 소프트웨어 딜리버리 파이프라인을 강화할 것'이라고예상한 바 있다. 애드리안 옹 체크막스 지역 채널 및 북아시아 영업 총괄 부사장은 "체크막스가 분명한 솔루션을 가지고 있다. 서치하는 패키지가 100만 건이 넘는다. 머신으로 하는 부분도 있지만 사람이 하는 경우도 많다. 특정한 패키지의 개발자, 기여자, 신뢰도에 대한 정보를 취합해서 기업들한테 전달하고 있다. 패키지가 안전한지 안전하지 않은 지를 취합해서 전달하는 역할을 하는 것이다"며 "한국에 집중된 기업, 공공기관들과의 협업을 통해 앞서 솔루션을 구축해 나갈 수 있는 파트너를 찾고 있다.굉장히 심각한 문제라는 것을 강조하고 싶다"고 말했다. '체크막스 공급망 보안' 솔루션은 체크막스 소프트웨어 구성 분석(Checkmarx Software Composition Analysis, SCA)과 함께 작동해서 오픈소스 프로젝트의 건전성과 보안 이상 징후를 파악하고 '기여자 평판(contributor reputation)'을 분석하며 '디토네이션 챔버(detonation chamber)' 내 분석을 통해 패키지 행태를 분석하고 직접 정보를 확보한다. 이를 통해 소프트웨어 공급망 전 영역에 걸친 분석과 인사이트를 통해 기업 애플리케이션 보안의 중대한 공백을 메울 수 있다는 것이다. 특히 체크막스 공급망 보안 솔루션을 통해 기업들은 ▲패키지의 건전성과 소프트웨어 자재명세서(SBOM) ▲악성 패키지 탐지 ▲기여자 평판 ▲행위 분석 ▲지속적 결과 처리 등의 필수적 역량을 이용해서 오픈소스 소프트웨어를 안전하게 활용, 모던 애플리케이션 개발을 가속화할 수 있다고 설명했다. 마지막으로 송대근 체크막스코리아 지사장은 '안전한 소프트웨어 개발(Security by Design)을 위한 3가지 제안'을 주제로 발표를 진행했다. 송대근 지사장은 소프트웨어 개발 환경을 언급하며, 클라우드 기반의 데브섹옵스(DevSecOps)를 도입하려면 소프트웨어 개발 과정(SDLC)에 어떻게 보안을 내재화할 것인지가 중요하다고 강조했다. 송 지사장은 "오픈 소스에 대한 편의성은 사용하지 않고는 새로운 앱이나 서비스들을 개발하기는 어렵게됐다. 새로운 보안 위협의 형태가 됐기 때문이다. 보안성을 강화하기 위해서 솔루션을 개발 중 동시에 소프트웨어 보안성 검사를 계속해서 이어왔다. 이런것들이 거의 현재 기업의 고민이기 때문이다. 이에 보안이 완성도가 높고, 보안 용량도 키워 왔다"고 말했다. 이어 "체크막스가 보내는 메시지는 기업들이 가지고 있는 보안 문제에 대해 보안 취약을 사전에 예방하고 사고 또한 미리 예방하는게 주 목적이다. 그에 위협을 하는 기여자들의 평판, 악성코드, 악성 소스들을 미리 찾아서 삭제하고 차단하는 역할을 하고 있다"고 말했다. 송 지사장은 안전한 소프트웨어 개발(Security by Design)을 위한 3가지 해결책으로 ▲Build/CI 솔루션을 통한 자동화된 보안 취약점 점검 절차 확립 ▲오픈소스 취약점 관리 ▲맞춤형 가이드를 통한 개발자 보안 역량 강화를 꼽았다. 이를 통해 ▲애플리케이션 보안 취약점 제거 ▲오픈소스 애플리케이션 보안 취약점 및 라이선스 규정 위반 예방 ▲전문가 서비스 및 시큐어 코딩 역량 강화 등의 기대효과를 제공한다고 강조했다.