에퀴팩스 해킹사고는 매우 심각한 위협으로 알려진 오픈소스 보안 취약점을 방치해 발생한 것이다. 이 사고 이후 오픈소스 보안 취약점 관리 문제가 뜨거운 감자로 떠오르고 있다. 오픈소스는 대부분의 소프트웨어에 사용되고 있지만, 체계적으로 관리되고 있지 않기 때문이다. 이에 오픈소스 라이선스와 보안 취약점, 품질을 관리하는 솔루션이 주목받고 있다.<편집자>
소프트웨어 보안 취약점을 제거하기 위해 취약점 스캐너, 시큐어코딩이 사용되지만, 이 솔루션들은 직접 개발할 때 혹은 상용 소프트웨어를 지원하A며 오픈소스 소프트웨어 취약점을 해결해주지 않는다.
시큐어코딩은 개발 중인 코드의 보안약점을 검색해주는 솔루션이지만, 오픈소스 내에 있는 코드를 분석하지 않는다. 취약점 스캐너 역시 이미 공개된 취약점이 있는 애플리케이션을 검사하지만, 오픈소스 커뮤니티에서 공개하는 취약점 DB와 연동돼 있지 않다.
오픈소스 보안 취약점은 매년 3000개 이상 공개되고 있으며, NVD, 버그트래커, 깃허브 이슈 트래커 등 많은 단체에서 취약점을 평가하고 공개한다. 도커와 같은 컨테이너에 포함된 취약점도 일일이 찾아서 해결하는 것은 어려운 일이다.
인사이너리는 기업 98%가 어떤 오픈소스 사용하는지 파악하지 못하고 있으며, 67%의 기업이 오픈소스 보안 취약점 모니터링 하지 않고, 소프트웨어 내에서 취약점은 평균 1894일 동안 노출돼 있는 것으로 분석한 바 있다. 또한 2004년 이후 보고된 7만4000개의 보안 취약점 중 자동화 분석 도구를 통해 발견된 것은 전체의 0.06%인 50개에 불과한 것으로 조사했다.
강태진 인사이너리 대표는 “공격으로부터 서비스를 안전하게 보호하기 위해서는 가장 기본적으로 소프트웨어 개발 생명주기(SDLC)에 맞춰 요구되는 보안 활동을 실시해야 한다. 그러나 오픈소스는 어느 시스템에서 사용하고 있는지 파악하기 어렵고 취약점이 있는 모듈을 찾아내는 것도 쉽지 않다”며 “수작업에 의지하는 오픈소스 관리 프로세스로는 진화하는 취약점 공격에 대응하지 못한다”고 지적했다.
대형 제조사·금융기관 등에서 성과 나타내
오픈소스 사용 현황을 관리하는 솔루션은 가장 먼저 라이선스 관리 분야에서 사용됐다. 오픈소스 사용 범위가 확대되면서 라이선스 위반으로 소송에 휘말리는 사례가 늘어나고, 이를 해결하기 위한 라이선스 관리 솔루션이 등장하게 됐다.
블랙덕소프트웨어가 이 분야의 선두주자로, 지난해 오픈소스 보안 취약점을 관리하는 ‘블랙덕허브’를 신규 출시하며 오픈소스 보안 시장의 지평을 넓혔다. 블랙덕소프트웨어는 지난해 시놉시스에 인수됐는데, 시놉시스는 오픈소스 보안 관리 솔루션, 오픈소스 바이너리 코드 분석 솔루션을 이미 보유하고 있었으며, 블랙덕소프트웨어의 라이선스 관리, 보안 관리 역량을 통합해 시장 장악력을 강화한다는 전략을 밝히고 있다.
블랙덕소프트웨어어와 조인트벤처를 설립하고 한국지사 역할을 수행하고 있는 블랙덕소프트웨어코리아는 라이선스 관리 솔루션 ‘블랙덕 프로텍스’를 사용하는 기존 고객과 보안 취약점 관리 솔루션 요구가 높은 신규 고객을 대상으로 적극적인 영업을 전개하고 있다.
블랙덕허브는 국내 대표적인 자동차 제조사, SI 기업, 국책연구기관, 금융기관 등에 공급됐다. 특히 국내 자동차 제조사는 사내 소프트웨어 개발 생명주기(SDLC) 빌드 프로세스에 블랙덕 허브를 연동해 오픈소스 보안취약점을 개발단계에서 사전 점검하고 관리하고 있다.
블랙덕은 200만개 이상의 오픈소스 프로젝트를 보유하고 있으며, 1만개 이상의 웹사이트와 저장소로부터 전 세계 오픈소스를 실시간으로 수집한다. 이를 통해 가장 큰 볼륨의 오픈소스 DB를 확보하고 있으며, 내부 법률 자문가들이 검토한 2500여개 이상의 라이선스와 정제된 오픈소스 DB를 보유하고 있다. 또한 국내 대표적인 로펌과 함께 오픈소스 컴플라이언스 이슈 무료 법률자문서비스을 제공해 오픈소스 관리를 보다 용이하게 하도록 도와준다.
블랙덕 허브의 보안취약점 DB는 공개된 NVD뿐만 아니라 NVD보다 40% 많고, 최대 3주 더 빠르게 업데이트 되는 전 세계 최대 상용 보안취약점 DB가 추가로 제공한다. 50명 이상 규모의 블랙덕 보안 리서치 연구기관을 통해 고품질의 보안취약점 솔루션 정보를 제공한다.
또한 SDLC에 최적화된 다양한 플러그인을 제공한다. IDE, 빌드, CI, 바이너리 저장소, 이슈 트래커, 패키지 매니저, 컨테이너 리포팅, 상용소프트웨어 취약점 점검도구 등 다양한 연동 플러그인을 통해 각 기업에 맞는 SDLC 연동 오픈소스 보안점검 프로세스 구축을 지원한다.
