“바이너리 만으로 오픈소스 버전·취약점 찾는다”
상태바
“바이너리 만으로 오픈소스 버전·취약점 찾는다”
  • 김선애 기자
  • 승인 2017.09.24 09:17
  • 댓글 0
이 기사를 공유합니다

인사이너리 ‘클래리티’, 소스코드 없이 실행파일만으로 오픈소스 버전·취약점 탐지…출시 4개월만에 국내외 고객 확보

비즈니스 경쟁력을 높이기 위해서는 타임투마켓을 만족시켜 서비스를 출시해야 하며, 서비스 제공을 위한 소프트웨어 개발 기간을 단축시키는 것이 필요하다. 그 한 방법으로 오픈소스 소프트웨어가 사용되며, 현재 모든 소프트웨어에는 오픈소스가 활용된다.

오픈소스는 누구나 자유롭게 개발할 수 있고, 이용할 수 있지만, 상업적인 목적으로 사용하려면 오픈소스 라이선스를 정확하게 지켜야 한다. 또한 수시로 취약점이 발견되고 패치가 업데이트되기 때문에 관리가 어려운 상황이다.

매년 오픈소스 보안 취약점은 3000개 이상 발견되지만, 소프트웨어 개발사나 이용기관은 업무 시스템에 어떤 오픈소스가 사용되고 있으며, 취약점이 있는 오픈소스와 버전을 정확하게 파악하지 못하고 있다.

이 때문에 오픈소스 보안 취약점을 자동으로 탐지하고 패치 방법을 안내하는 보안 솔루션이 속속 등장하고 있다.

보안에 중점 둔 오픈소스 취약점 검증 솔루션

국내 스타트업 인사이너리는 오픈소스 보안 점검 솔루션 개발과 공급에 중점을 두고 있는 전문 기업이다. 이 회사의 ‘클래리티(Clarity)’는 애플리케이션과 DB에서 사용되는 오픈소스를 자동으로 검색하고 알려진 취약점 정보를 매핑하고 검증 내역서를 제공하고, 개선 방안을 제안한다. NDV, VulnDB 보안 취약점 DB와 연동해 모든 오픈소스 취약점을 기업/기관이 파악하고 대응할 수 있도록 한다.

강태진 인사이너리 대표이사는 “경쟁사는 소스코드가 있어야 보안 취약점을 찾아내지만, 클래리티는 소스코드 없이 바이너리코드만 보고도 검증이 가능하다. 또한 오픈소스 라이선스 컴플라이언스도 자동으로 검증해 라이선스 위반 사례가 발생하지 않도록 하며, 검증 결과에 대한 대시보드와 세부 정보를 제공한다”고 설명했다.

▲인사이너리 '클래리티' 개요

보안·오픈소스 전문가들이 개발한 취약점 점검 솔루션

클래리티는 네덜란드의 오픈소스 전문가 아마인 헤멜(Armijn Hemel)이 개발한 오픈소스 프레임워크인 바이너리 어낼리시스 툴(BAT)을 기반으로 한다. 아마인 헤멜은 인사이너리가 설립됐을 때 CTO로 참여했으며, BAT에 대한 IP를 인사이너리에 양도했다. BAT는 바이너리코드에서 오픈소스 라이선스를 찾아내는 기술로, 네덜란드 정부 지원을 받아 아마인 헤멜이 10여년간 개발해 오픈소스 커뮤니티에 공개해왔다.

인사이너리에는 씽크프리 공동 설립자인 강태진 대표이사 사장과 블랙덕소프트웨어 CFO 출신의 장만호 CEO, 안랩 창립멤버이며 CTO를 역임한 조시행 부사장 등 국내 보안·오픈소스 소프트웨어 전문가들이 참여하고 있다.

강 대표는 “인사이너리는 2016년 설립 당시부터 보안에 초점을 맞춰왔다. 국내 최고의 보안 전문가와 오픈소스 전문가, 소프트웨어 전문가들이 모였으며, 전 세계 오픈소스 소프트웨어 관리 시장에서 가장 뛰어난 기술인 BAT를 기반으로 제품을 개발해냈다. 지난 4월 정식 제품을 출시하고 4개월 여 지났는데, 벌써 한국과 일본의 대형 제조사와 소프트웨어 회사와 제품 공급 계약을 맺었다”고 밝혔다.

IoT 보안에 특화

클래리티에 관심을 갖는 고객들은 대부분 엔터프라이즈급으로, 오픈소스 사용률이 높은 제조사, 소프트웨어 개발회사 등이다. 국내 기업은 물론이고 일본, 중국, 미국에서도 관심을 갖고 있다.

클래리티는 IoT 기기에서 사용하는 오픈소스 컴포넌트의 보안이슈를 찾는데에도 탁월해 IoT 기기 제조사들도 관심을 갖고 있다. 지난해 발생한 미라이봇넷은 CCTV를 감염시켜 대규모 봇넷을 만들었으며, 오픈소스를 주로 사용하는 IoT 기기들은 이러한 공격 위협에 상시 노출돼 있다. 클래리티는 IoT에서 사용하는 오픈소스 보안 취약점을 자동으로 찾기 때문에 IoT 보안 수준을 한층 끌어올릴 수 있다.

강태진 대표는 “보안은 누구도 완벽하게 준비돼 있다고 자신할 수 없다. 알려진 취약점부터 제거해 보안위협을 낮추는 것이 필요하며, 방대한 영역에서 사용되는 오픈소스 취약점을 해결하는 것이 가장 우선돼야 한다”고 말했다.

한편 인사이너리는 중소기업을 위해 필수 기능만을 선별한 무료 서비스를 클라우드로 제공한다. 이 서비스는 개발한 바이너리 파일을 보안 스캔 서비스 사이트에 업로드하면, 여기에서 사용된 오픈소스를 찾아 취약점을 검증해 내려준다. 잠재적 취약점과 심각도 등의 결과를 보여줘 개발사가 보안 패치를 적용하거나 새로운 버저의 소프트웨어를 사용하도록 할 수 있다.

강태진 대표는 “OEM 업체와 개발사가 판매하는 IoT 기기상의 보안 문제가 주요 기업 및 공공기관의 인프라스트럭처를 위험에 처하게 할 수 있다. 인사이너리의 클래리티 기반의 바이너리 분석을 통한 오픈 소스 검증 서비스를 이용하면 사전에 바이너리 레벨에서 보안 위협을 탐지할 수 있다”고 설명했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.