오픈소스 라이선스·보안 취약점 관리 솔루션 필수
[데이터넷] 최근 웹·애플리케이션은 오픈소스 소프트웨어(OSS)를 이용해 개발·배포를 단축시키며 비용 절감과 비즈니스 유연성을 높인다. 시높시스 조사에 따르면 상용 소프트웨어의 96%가 오픈소스를 사용했으며, 1000개 이상 파일로 구성된 소프트웨어 99% 이상 오픈소스가 포함돼 있다. 가장 강력한 보안이 필요한 금융사 앱도 오픈소스를 사용한다. 오픈소스 취약점 54%가 고위험군에 속하며, IoT 애플리케이션 77%가 오픈소스를 사용하고 평균 667개의 보안 취약점을 갖고 있다.
가시성 확보 어려운 오픈소스 사용 현황
오픈소스는 집단지성을 이용해 개발하고 테스트하기 때문에 취약점을 빠르게 발견하고 패치도 할 수 있다. 문제는 기업·기관이 사용하는 소프트웨어에 어떤 오픈소스가 사용되고 있는지 모른다는 점이다.
상용 소프트웨어는 물론이고 자체 개발하거나 써드파티에서 공급받은 소프트웨어에도 오픈소스가 두루 사용된다. 오픈소스 라이선스 정책에 따라 사용 중인 오픈소스를 공지해야 하는데, 엑셀 등으로 정리하는 방식을 사용하기 때문에 사후 관리가 전혀 이뤄지지 않는다.
너무 많은 오픈소스를 사용하다 보면 라이선스 위반이나 장애·충돌의 문제도 발생할 수 있는데, 시높시스는 라이선스 충돌이 일어날 수 있는 오픈소스 컴포넌트가 68%에 이른다고 분석하고 있다.
케이엠에스테크놀로지(KMS)가 국내 금융앱을 분석 한 결과 국내 은행 12개 기업, 증권사 9개 기업이 앱에 사용되고 있는 오픈소스를 고지하지 않고 있어 오픈소 스 라이선스 법률 위반 문제가 발생할 여지가 있다.
오픈소스 사용률이 높아지면서 취약점 문제도 심각해진다. 오픈소스에 취약점이 발견됐을 때 오픈소스 커뮤니티에서 이 사실을 공지하고 패치를 배포하는데, 그 방법은 커뮤니티별로 모두 다르다. 공지사항으로 띄워 모든 사람들이 알게 하는 경우도 있지만, 하이라이트 되지 않은 게시글 혹은 댓글에 패치가 있는 경우 도 있다.
또한 오픈소스 소스코드의 일부만 가져오는 스니팻 (Snippet)의 경우, 오픈소스 스캐닝 솔루션들은 이를 식별하지 못하는 경우가 많다. 더불어 소스코드 없이 바이너리 파일로 존재하는 경우도 소스코드 점검만 시행하는 스캐닝 솔루션은 오픈소스의 문제를 해결하지 못한다.
오픈소스 라이선스 관리·보안관리 주요 점검 사항
- 오픈소스 라이선스 위반 검증: 오픈소스는 소프트웨어를 배포하는 순간 라이선스 의무사항이 발동하기 때문에 현재 배포된 모든 애플리케이션 소스코드에 대해 오픈소스 검증을 신속하게 실행해야 한다. 프로젝트 소스코드에 대한 오픈소스 검증작업이 한 번도 진행되지 않았다면 과거에 개발된 레거시 코드에서 잠재적인 법률적·품질 리스크가 존재할 수 있다. 스니팻이나 알려진 보안 취약점이 있는 컴포넌트를 사용하는 경우가 있기 때문에 오픈소스 분석 도구를 통해 검증해야 한다.
- 오픈소스 컴플라이언스 위한 내부 프로세스 구축: 향후 배포될 예정이거나 개발 예정인 소스코드에 대한 리스크 예방을 위한 프로세스를 수립해야 한다. 내부 전문 인력은 물론 외부 전문 서비스 기업의 도움을 받아 오픈소스 컴플라이언스 준수 여부를 내부적으로 확인할 수 있는 프로세스를 구축한다.
- 오픈소스 거버넌스 구축: 보다 전문적이고 체계적으로 오픈소스를 관리하기 위한 거버넌스 구축이 필요하다. 오픈소스 관리 조직 구성, 프로세스 및 정책 수립, 주기적인 교육, 오픈소스 분석 도구를 도입해 사내 개발자들의 오픈소스에 대한 이해도를 높이고 개발에 사용된 오픈소스의 잠재적 위험을 예방해 제품의 품질을 향상시켜야 한다.
(자료: KMS)
방대한 오픈소스 커뮤니티 아우르는 역량 필수
애플리케이션 보안 위협에 대응하기 위해서는 오픈소스 라이선스 관리·보안 취약점 관리를 위한 자동화된 솔루션이 반드시 필요하다. 기업이 사용하는 앱·시스템 전체를 스캔해 사용 중인 오픈소스를 파악하고 라이선스 위반이나 충돌이 발생할 소지가 있는지 파악하며, 오픈소스 커뮤니티에서 발견한 취약점 정보와 비교해 취약점이 있는 오픈소스 컴포넌트를 사용하는지 점검하는 솔루션이 있어야 한다.
시높시스의 블랙덕 제품군이 이 역할을 하는 제품으로, 전 세계 90% 점유율을 보유하고 있는 대표 솔루션이다. 블랙덕은 전 세계에서 가장 방대한 오픈소스 DB를 운영하고 있으며, 애플리케이션과 컨테이너 내의 오픈소스를 식별한다. 스니팻 검출 알고리즘과 바이너리 분석, 멀티팩터 식별, 오·미탐 없는 정교한 분석 결과 를 도출하는 것으로 호평받고 있다. 새롭게 신고된 취 약점을 당일 고지해 NVD에 보고된 것 보다 더 많은 취 약점을 제공한다.
블랙덕 제품을 국내에 공급하는 엔시큐어의 손장군 이사는 “오픈소스 관리·보안 솔루션의 경쟁력은 ‘지식’이다. 얼마나 많은 커뮤니티와 소통하면서 정보를 수집하고 있는지가 가장 중대한 경쟁력이다. 블랙덕은 전 세계 최대 규모의 오픈소스 커뮤니티 커뮤니케이션 플랫폼을 보유하고 있으며, 가장 많은 오픈소스 정보를 갖고 있어 오픈소스 운영에 필요한 관리·보안 문제 를 해결할 수 있다”며 “이미 국내 대기업·금융기관 등에서 블랙덕 제품을 사용하고 있으며, 클라우드가 확산될수록 이러한 성장세는 더욱 가속화될 것”이라고 말했다.
SDLC 전 과정 보호 플랫폼 필요
웹·애플리케이션 취약점은 소프트웨어 개발 생명주기(SDLC) 전체에 걸쳐 관리돼야 하는 문제이다. 소프트웨어 개발 단계부터 테스트, 배포, 운영에 이르는 전 과정에서 취약점을 확인하고 점검해야 한다. 초기에 취 약점을 해결하지 않고 운영 단계에서 해결하려고 하면 시간과 비용이 수십배 든다.
SDLC 전반에서 보안 문제를 해결하는 방법으로, 개발 단계에서 보안 점검을 수행하는 정적 분석도구(SAST), 테스트 단계에서 수행하는 동적 분석 도구(DAST), 운영 중 애플리케이션에서 취약점이나 이상 행위를 탐지하는 도구(RASP)가 있다.
국내 소프트웨어 보안 기업인 스패로우는 이 모든 프로세스를 지원하면서 상호작용 플랫폼으로 소프트웨어 보안·품질 문제 를 원스톱으로 해결하는 ‘스패로우(Sparrow)’제품군으로 시장을 공략하고 있다.
또한 스패로우는 오픈소스 관리도구 ‘스패로우 SCA’를 통해 오픈소스 문제도 해결한다. 이 제품은 소스코드·바이너리를 동시 분석할 수 있으며, 소프트웨어 개발 시 사용할 오픈소스 소프트웨어 관리 정책을 설정할 수 있게 해 오픈소스 라이선스·보안 취약점에 효율적으로 대응할 수 있게 한다.
