에퀴팩스 해킹사고는 매우 심각한 위협으로 알려진 오픈소스 보안 취약점을 방치해 발생한 것이다. 이 사고 이후 오픈소스 보안 취약점 관리 문제가 뜨거운 감자로 떠오르고 있다. 오픈소스는 대부분의 소프트웨어에 사용되고 있지만, 체계적으로 관리되고 있지 않기 때문이다. 이에 오픈소스 라이선스와 보안 취약점, 품질을 관리하는 솔루션이 주목받고 있다.<편집자>
유럽 컨설팅 펌에서 선택한 바이너리 분석 솔루션
오픈소스는 많은 경우 소스코드 없이 바이너리 형태로만 존재한다. 써드파티에서 납품받는 소프트웨어나 자체 개발한 소프트웨어라 할지라도 소프트웨어 관리 편리성을 높이기 위해 바이너리만 남기고 소스코드는 따로 관리하지 않는 경우가 많다.
오픈소스 보안 관리 솔루션들도 바이너리 파일에서 보안 취약점을 찾아내지만 정확도가 떨어진다는 문제가 있다. 이들은 대부분 소스코드에서 취약점을 찾는데 특화돼 있기 때문에 탐지 정확도를 올릴 수 있는 방법이 필요하다.
오픈소스 바이너리 분석은 네덜란드의 오픈소스 전문가 아마인 헤멜(Armijn Hemel)이 개발한 바이너리 어낼리시스 툴(BAT)이 가장 널리 사용됐다. BAT를 이용해 개발된 제품이 인사이너리의 ‘클래리티(Clarity)’이며, 애플리케이션과 DB에서 사용되는 오픈소스를 자동으로 검색하고 알려진 취약점 정보를 매핑하고 검증 내역서를 제공하고, 개선 방안을 제안한다. 오픈소스를 컴파일하지 않고 고유의 핑거프린트 기술을 적용해 바이너리 파일을 분석하기 때문에 탐지 정확도가 높고 속도가 빠르다.
아마인 헤멜은 인사이너리가 설립됐을 때 CTO로 참여했으며, BAT에 대한 IP를 인사이너리에 양도했다. BAT는 바이너리코드에서 오픈소스 라이선스를 찾아내는 기술로, 네덜란드 정부 지원을 받아 아마인 헤멜이 10여년간 개발해 오픈소스 커뮤니티에 공개해왔다.
인사이너리는 강태진 전 씽크프리 대표, 장만준 전 블랙덕소프트웨어 CFO가 주도해 설립한 기업으로, 안랩, 퓨쳐시스템 등 국내 보안 시장을 대표해 온 인사들이 참여하고 있다. 인사이너리 클래리티는 지난해 9월 정식 출시된 후 한국인터넷진흥원, 안랩 등에 공급됐으며, 일본의 파나소닉에도 공급되면서 해외 시장도 함께 개척하고 있다.
인사이너리는 처음부터 국내 시장과 해외시장 공동 진출을 계획하면서 설립했으며, 중국을 포함한 아시아 지역, 미주, 유럽 등에서도 소개하면서 적극적인 영업과 투자유치를 시도하고 있다.
매우 고무적인 성과로 유럽 컨설팅 전문기업 베어링포인트가 클래리티를 서비스하고 있다는 점을 든다. 베어링포인트가 제공하는 서비스 중 하나가 오픈소스 컨설팅과 매지니드 서비스이며, 오픈소스 정책 수립과 적용, 개발, 운영과 감사 서비스까지 원스톱으로 제공하고 있다. 여기에 클래리티를 적용해 오픈소스 취약점과 라이선스 관리를 진행하고 있는 것이다. 올해 초 정식 서비스를 시작했으며, 유럽의 주요 통신사 등에 공급하고 있다.
해시코드 분석으로 빠르고 정확한 탐지 제공
오픈소스 관리 솔루션 시장 개화가 본격화되자 이스라엘의 화이트소스도 국내 진출을 선언했다. 화이트소스는 쿤텍과 국내 총판 계약을 체결하고 시장 개척에 나섰으며, 쿤텍은 라이선스 관련 소송이 필요한 경우 전문 법률 자문 서비스까지 제공하고 있다.
화이트소스는 MS 클라우드 ALM 통합 서비스를 제공하고 있으며 MS의 투자를 받은 검증된 솔루션 기업이라는 점을 내세운다. 화이트소스는 거의 대부분의 커뮤니티와 오픈소스 취약점 관리 단체로부터 취약점 DB를 공유 받고 있으며, 300만개의 오픈소스 구성요소를 분석하고 7000만개의 오픈소스 파일을 지속적으로 모니터링한다. 오래 전 개발·배포된 후 수 년 전 부터 더 이상 업데이트되지 않은 오래된 오픈소스까지 점검할 수 있어 관리되지 않은 오픈소스 관리 문제를 편리하게 할 수 있다.
소스코드를 리버스 엔지니어링 방식으로 분석하는 것이 아니라 소스코드의 해시값만을 비교해 분석하기 때문에 빠르고 정확하게 취약점이 있는 모듈을 찾아낼 수 있다.
방혁준 쿤텍 대표는 “초기 오픈소스 취약점 관리는 단순한 스캔 기능만으로 가능했지만, 현재는 오픈소스가 광범위하게 사용되고 있기 때문에 스캔만으로는 탐지 정확도를 높일 수 없고 분석에 많은 시간이 걸린다. 특히 최근 오픈소스 취약점 공격은 취약점이 공개된 즉시 익스플로잇 코드가 등장하기 때문에 취약점 공개 후 빠르게 취약점을 찾아 대응할 수 있도록 하는 것이 중요하다”고 강조했다.
그는 “화이트소스는 소스코드가 아니라 해시값을 비교해 취약점에 해당하는 모듈을 찾아내기 때문에 훨씬 빠르고 정확하다. 최근 소프트웨어 개발 시 오픈소스를 이용할 때 수정 없이 모듈을 그대로 사용하기 때문에 해시값을 비교하는 방식의 화이트소스가 스캔 방식보다 경쟁력이 있다”고 자신했다.
화이트소스는 스타트업부터 SMB, 엔터프라이즈에 이르는 다양한 고객이 사용할 수 있도록 라이선스 체계를 다양하게 했으며, SaaS로도 제공된다. 솔루션 하나로 오픈소스 라이선스 관리, 버그·보안 취약점 관리까지 제공할 수 있다. 인터넷에 연결되지 않아도 동작할 수 있어 ICS/SCADA 등 폐쇄망 환경에서도 작동할 수 있다.
더불어 일반 소프트웨어의 보안 취약점을 제거하는 시큐어코딩 정적분석, 동적분석 솔루션과 함께 사용하면 더욱 안전한 애플리케이션 개발 환경을 이룰 수 있다. 이에 국내 시큐어코딩 기업들과 협력하면서 애플리케이션 개발 보안 시장을 넓혀간다는 계획도 밝혔다.
무한 확장 가능성 보이는 오픈소스 관리 솔루션
오픈소스 보안 관리 솔루션을 앞으로 적용 범위가 무한하게 확장될 것으로 기대된다. IoT, 클라우드, 모바일 환경에서 제공되는 서비스는 90% 이상 오픈소스를 기반으로 개발되고 있다. 공격자들은 오픈소스 취약점을 이용한 공격에 더욱 집중할 것이며, 취약점이 있는 오픈소스를 사용하는 시스템을 검색해 쉽게 공격할 수 있게 될 것이다.
전사 시스템에서 오픈소스 사용 현황을 파악하고 취약점을 찾아내며 개선방안까지 제안하는 오픈소스 보안관리 솔루션은 SDLC에 포함되고 있으며, 데브시크옵스(DevSecOps)의 이상을 완성시킬 수 있는 솔루션으로 주목된다.
블랙덕소프트웨어 관계자는 “오픈소스는 소프트웨어를 개발하는 훌륭한 도구로, 기업에게 많은 가치 창출과 혁신을 가져다 줄 수 있다. 따라서 오픈소스가 사내에서 사용되고 있는지 오픈소스 목록을 구축하고 이와 관련 있는 보안취약점에 대해 현황파악을 우선적으로 한다면 잠재된 위협요소에 대해 지혜롭게 대응할 수 있다”고 말했다.
오픈소스 관리는 전 세계적으로 민감한 문제이며, 관리 솔루션에 대한 수요가 매우 높다. 그러나 오픈소스 관리 솔루션은 수많은 오픈소스 커뮤니티와 협력해야 하고, 수천만개의 오픈소스를 분석한 DB가 이미 확보돼 있어야 하고, 고급 분석 기술을 필요로 하기 때문에 진입장벽이 매우 높은 편이다. 따라서 이미 시장의 리딩 그룹이 앞으로도 상당기간 시장 장악력을 유지할 것으로 보이며, 이 기술에 대한 투자도 계속 이어질 것으로 기대된다.
강태진 인사이너리 대표는 “오픈소스 관리 문제는 전 세계적으로 뜨거운 이슈이며, 특히 중국의 경우 매우 높은 관심을 드러내고 있다. 중국 기업들이 최근 몇 년간 오픈소스 라이선스 소송을 당하면서 문제 해결 방안을 찾고 있는 상황”이라며 “오픈소스 관리 솔루션은 전 세계에서 가장 높은 주목도를 보이고 있으며, 성장 가능성에 대한 주목을 받고 있다”고 설명했다.
