엔시큐어, SW 관리·보안 시장 공략 강화
상태바
엔시큐어, SW 관리·보안 시장 공략 강화
  • 김선애 기자
  • 승인 2019.07.26 11:07
  • 댓글 0
이 기사를 공유합니다

시높시스와 파트너십 체결…오픈소스 관리 솔루션 ‘블랙덕’ 등 국내 시장 공급

[데이터넷] 엔시큐어(대표 문성준)는 시높시스와 파트너십을 맺고 소프트웨어 라이선스·취약점 탐지 시장 공략을 강화한다고 26일 밝혔다.

이번 파트너십을 통해 엔시큐어는 시높시스의 ▲오픈소스 라이선스와 취약점 관리 솔루션 ‘블랙덕(Black Duck)’ ▲취약점을 찾기 위해 무작위로 데이터를 입력하여 오류를 발생시킨 후 원인을 분석하는 퍼즈 테스팅(Fuzz Testing)을 통해 알려지지 않은 취약점을 탐지하는 디펜직스(Defensics)’ ▲애플리케이션에서 발생하는 실제 공격을 모의 테스트 하는 ‘시커(Seeker)’ 등의 솔루션을 국내에 공급한다.

블랙덕은 GPL·BSD, 아파치 등 다양한 오픈소스 라이선스 정보를 제공하며 270만 개 이상의 오픈소스를 목록화하여 라이선스 준수 사항을 확인 및 분석할 수 있다. 또한 소스코드 품질 관리를 위해 소프트웨어 개발 수명 주기에 따라 오픈소스 취약점을 탐지할 수 있다.

오픈소스 라이선스·보안 취약점 리스크 관리해야

2017년 5월 국내 소프트웨어 회사가 ‘고스트스크립트(Ghostscript)’ 오픈소스를 사용해 미국 소프트웨어 업체 아티펙스(Artifex)로부터 소송을 당한 사례가 있다. 고스트스크립트는 포스트스크립트(PostScript) 인터프리터로 이 소프트웨어를 사용하면 포스트스크립트로 쓰여진 프로그램을 실행할 수 있고 PDF 포맷의 파일을 화면에 표시하거나 프린터로 인쇄할 수 있다.

아티펙스는 해당 오픈소스를 사용한 국내 소프트웨어사가 2013년 고스트스크립트를 쓰기 시작한 이후 결과물을 오픈소스로 공개한 적이 없고 라이선스 비용 또한 지급한 적이 없다는 이유로 2016년 말 캘리포니아 주 북부 지방 법원에 소송을 제기했다. 아티펙스는 고스트스크립트 사용을 당장 중단하고 합리적인 사용료를 지불할 것을 요구했다.

또한 2018년에는 고스트스크립트에 샌드박스를 우회하는 오픈소스 취약점이 발견되었는데, 해커가 익스플로잇 공격에 성공할 경우 원격에서 승인 없이 임의로 명령을 실행할 수 있는 매우 위험한 취약점이다. 세계 시장을 대상으로 개발하는 회사라면 개발 중인 소스코드가 어떠한 오픈소스를 사용하고 있는지, 오픈소스의 취약점은 무엇인지 반드시 확인해 보아야 한다.

아래 항목은 GNU 소프트웨어에 관련된 다섯 가지 의무이다. GNU 일반 공중 사용 허가서는 누구에게나 다음의 다섯 가지의 의무를 저작권의 한 부분으로서 강제한다.

- 컴퓨터 프로그램을 어떠한 목적으로든지 사용할 수 있다. 다만 법으로 제한하는 행위는 할 수 없다.

- 컴퓨터 프로그램의 실행 복사본은 언제나 프로그램의 소스 코드와 함께 판매 하거나 소스코드를 무료로 배포해야 한다.

- 컴퓨터 프로그램의 소스 코드를 용도에 따라 변경할 수 있다.

- 변경된 컴퓨터 프로그램 역시 프로그램의 소스 코드를 반드시 공개 배포해야 한다.

- 변경된 컴퓨터 프로그램 역시 반드시 똑같은 라이선스를 취해야 한다. 즉 GPL 라이선스를 적용해야 한다.

엔시큐어 보안 컨설팅 능력 제공

이번 파트너십 체결은 엔시큐어의 다양한 경험과 축적된 기술력, 전문적인 보안 컨설팅 능력을 바탕으로 국내 개발사에 폭넓은 가치를 제공하기 위해 맺어졌다.

오연진 엔시큐어 전략기획부 팀장은 “최근 소프트웨어 산업이 크게 발전함에 따라 모바일 앱 및 소프트웨어를 개발할 때 오픈소스의 라이선스와 취약점 관리를 소홀히 여기고 있다. 이는 곧 법적 분쟁을 야기할 수 있기 때문에 주의해야 한다”며 “블랙덕 솔루션을 활용하면 오픈소스 라이선스 관리와 취약점 문제를 쉽고 빠르게 해결 할 수 있다”고 덧붙였다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.