CI/CD 파이프라인 지연 없이 빠르고 안전한 서비스 개발 제공
[데이터넷] 고전 영화 ‘모던타임즈’는 나사 조이는 일을 반복하는 공장 노동자가 주인공이다. 마치 컨베이어 벨트의 부품처럼 작동하는 공장 노동자의 삶이 코믹하지만 씁쓸하게 그려진 이 고전 영화의 한 장면이 지금 소프트웨어 개발 환경에서 재현되는 듯하다.
CI/CD 파이프라인에서 개발자와 운영자는 ‘개발·테스트·배포·운영’이라는 자동화된 컨베이어 벨트에서 쉴 새 없이 움직인다. 아마존은 11.6초마다 신규 서비스를 배포하고, 페이스북의 안드로이드 앱은 하루 5만~6만회 빌드된다.
쉼 없이 빠르게 진행되는 CI/CD 파이프라인에서 보안·장애 점검을 할 수 있는 시간이 충분하지 않다. 실제로 보안사고의 75%는 소프트웨어 취약점으로 인해 발생하고 있으며, 개발자의 70%는 보안에 대한 교육이 부족하다는 점을 토로한다.
소프트웨어 개발·운영 과정에서 제거되지 못한 보안 취약점은 공급망 공격으로 이어질 수 있다. 솔라윈즈, 카세야, 코드코브 등이 대표적인 소프트웨어 공급망 공격 사례로 꼽힌다. 소프트웨어 업데이트 파일, 오픈소스 라이브러리 등에 악성코드를 삽입해 광범위한 소프트웨어 공급망을 통해 배포되도록 하는 이 공격은 현재 가장 위험한 악성코드 유포 방식으로 꼽힌다.
송대근 체크막스 한국지사장은 “소프트웨어 공급망 공격은 피해를 입은 기업의 잘못이 아니다. 그러나 공격자들은 소프트웨어 공급망의 가장 취약한 부분을 성공적으로 이용했다. 앞으로 더 빠른 애플리케이션 개발과 배포가 중요해지면서 공급망 공격을 근본적으로 차단할 방법이 필요하다”며 “소프트웨어 개발부터 운영까지 모든 단계에 적용되는 애플리케이션 보안 테스트(AST) 툴이 반드시 필요하다”고 말했다.
안전한 애플리케이션 위해 AST 필수
그동안 국내 AST 솔루션은 공공기관 의무 적용된 시큐어코딩을 중심으로 협소한 분야에서 사용되어왔다. 글로벌 제조사는 글로벌 컴플라이언스와 소비자 보호를 위해 소프트웨어 품질관리를 위한 테스트 솔루션으로 사용해왔으며, 일부 기관이 취약점 스캐너로 DAST를 사용하는 상황이었다.
그러나 최근 서비스의 빠른 개발과 배포가 필요한 상황에 접어들면서 데브옵스 전환 속도가 빨라졌고, 모든 단계마다 취약점을 점검하는 기존 방식을 고수할 수 없는 상황이 됐다.
보안을 고려하지 않은 데브옵스는 공급망 공격에 취약하다. 대부분의 개발자들은 코드를 처음부터 직접 작성하는 것이 아니라 오픈소스 라이브러리에서 가져오기 때문이다. 보안 원칙을 제대로 지키려면 라이브러리 적용 전 반드시 취약점 점검을 해야 하지만, 적절한 도구가 없거나 귀찮아서 혹은 어떻게 사용하는지 몰라서 취약점 점검을 하지 않는다.
그 결과 취약점이 삽입된 라이브러리가 서비스에 포함돼 배포되고, 이 서비스를 통해 공격자가 침입할 수 있는 백도어를 만들고, 정보유출, 시스템 파괴, 랜섬웨어, 암호화폐 채굴 공격 등을 할 수 있게 된다.
송대근 지사장은 “최근 기업이 애플리케이션 중심 환경으로 진화하면서 빠른 개발과 배포가 가능한 데브옵스 환경으로 전환하고 있다. 기존에는 소프트웨어 개발과 테스트 시점에 일회성으로 취약점 점검을 했지만, 이제는 지속적인 개발·운영 과정에 녹아든 지속적인 보안 점검이 필요한 상황”이라며 “한국 고객들도 경쟁력 있는 서비스를 안전하게 제공할 수 있도록 체크막스의 AST 플랫폼 도입을 적극 검토하고 있다”고 말했다.
속도감 있는 보안으로 기업 경쟁력 높여
체크막스는 국내를 포함한 전 세계 1400개 기업·기관에 소프트웨어 취약점 점검 솔루션을 공급해 온 기업으로, 11월 한국지사를 정식 설립하고 송대근 지사장으로 선임하며 시장 공략에 나섰다. 체크막스는 데브섹옵스, 클라우드 네이티브 개발과 전통적인 개발환경을 포함한 다양한 환경의 소프트웨어 취약점을 탐지하며, 오픈소스 코드의 취약점과 라이선스 관리, 개발자 보안역량 강화를 위한 교육과 가이드를 제공한다.
애플리케이션 취약점 분석 솔루션 CxSAST·CxIAST, 오픈소스 라이선스 점검 솔루션 CxSCA, AST 전문가 지원과 교육을 위한 앱섹(AppSec) 서비스 등을 제공하며, SDLC에 통합되고 오케스트레이션 할 수 있어 CI/CD 파이프라인을 지연시키지 않고 소프트웨어를 안전하게 개발·배포·운영할 수 있게 한다.
송대근 지사장은 “클라우드로 비즈니스 속도가 빨라진 만큼, 보안도 속도감 있게 적용할 수 있어야 한다. 개발·운영 프로세스에 녹아들어 개발자들이 쉽게 사용할 수 있어야 하며, 보안으로 인해 서비스가 지연되어서는 안된다”며 “비즈니스와 개발자에 친화적인 AST가 기업의 경쟁력을 높일 수 있을 것”이라고 강조했다.
체크막스가 국내에서 우선 집중할 산업군은 애플리케이션 기반 비즈니스를 영위하는 산업이다. 애플리케이션과 보안에 가장 앞서 있는 게임사, 포털, 이커머스 등에서 가장 높은 수요가 있다고 판단하고 이 시장을 공략하고 있다. 이미 국내 여러 공공기관과 이커머스 등을 고객으로 확보한 상황이며, 애플리케이션 중심 서비스로 전환하는 금융·핀테크와 일반 기업, 나아가 공공시장까지 확장할 계획을 세우고 있다.
클라우드 환경 연동이 쉬운 제품의 특징을 살려 클라우드 서비스를 제공하는 기업에도 적극적으로 소개하고 있다. 또한 깃랩·깃허브 등 오픈 커뮤니티와 협력해 안전한 클라우드 개발환경을 지원하기 위해 노력하고 있다.
송 지사장은 “보안은 일시적인 것이 아니며 지속적으로 점검하고 유지할 수 있어야 한다. 그래야 고객들이 서비스에 신뢰를 갖고 이용할 수 있다”며 “일회적인 규제준수만을 위해 소스코드 보안을 적용한 기존 관행에서 벗어나 모든 환경에서 지속적으로 소프트웨어를 보호하는 AST를 고민해야 할 때”라고 역설했다.
