“SW 공급망 공격, 소스코드 보호부터 시작하라”
상태바
“SW 공급망 공격, 소스코드 보호부터 시작하라”
  • 김선애 기자
  • 승인 2021.12.10 08:30
  • 댓글 0
이 기사를 공유합니다

송대근 체크막스 한국지사장 “클라우드 확산으로 한국서도 소스코드 보안 관심 높아”
한글 지원·국내 시큐어코딩 가이드라인 만족하는 개발자 친화적 AST 제공

[데이터넷] 메타버스가 현실 세상을 강타했다. 상상만 했던 다양한 가상현실이 메타버스 내에서 벌어진다. 그런데 만일 메타버스가 해킹당하면 어떻게 될까? 메타버스가 새로운 환경이지만 근본적으로는 소프트웨어로 구현된다.

모든 소프트웨어는 취약점을 갖고 있다. 거의 대부분의 소프트웨어는 개발자들이 일일이 코딩하는 것이 아니라 오픈소스나 오픈 커뮤니티, 써드파티 라이브러리에서 가져온다. 수천개의 라이브러리 중 단 한 줄의 악성 코드만 있어도 침해당하는 것은 시간문제다. 이를 사용하는 모든 소프트웨어가 감염되고 상상할 수 없는 대규모 피해가 일어날 수 있다. 가장 강력한 보안으로 보호되는 미국 정부기관, 전 세계에서 가장 뛰어난 보안 기술을 가진 기업이 취약한 업데이트 파일에 감염돼 중요정보를 탈취당했다.

메타버스, 디지털트윈, 스마트시티 등 2022년 IT 세상을 혁신시킬 새로운 기술이 일상생활을 긍정적으로 변화시키기 위해서는 개발 단계부터 반드시 보안을 적용해야 한다.

송대근 체크막스 한국지사장은 “현재 가장 위험한 공격이 소프트웨어 공급망 공격이다. 업데이트·패치파일을 감염시키거나, 신뢰할 수 있는 소프트웨어 공급망·배포 라인을 감염시키면 대규모 공격이 가능하다”며 “소프트웨어 중심 시대가 다가오면서 소프트웨어 보안은 더욱 더 중요해진다”고 말했다.

▲송대근 체크막스 한국지사장은 “소프트웨어 중심 시대로 전환되며 소스코드 보안이 중요해진다. 전체 소프트웨어 라이프사이클을 보호하는 체크막스 솔루션이 필수”라고 밝혔다.
▲송대근 체크막스 한국지사장은 “소프트웨어 중심 시대로 전환되며 소스코드 보안이 중요해진다. 전체 소프트웨어 라이프사이클을 보호하는 체크막스 솔루션이 필수”라고 밝혔다.

모든 코드 취약점 탐지하는 자동화된 AST 필수

체크막스는 애플리케이션 보안 테스팅(AST) 시장의 글로벌 리더로, 11월 한국지사를 정식 설립하고 송대근 초대 지사장을 선임, 에스엔에이와 총판계약을 체결하면서 국내 시장 공략을 본격적으로 시작했다.

체크막스는 이미 수 년 전부터 파트너를 통해 국내 대기업과 공공기관 등에 공급되어왔으며, 소스코드 정적분석(SAST) 기술력을 인정받아왔다. 이번에 한국시장 공략에 적극 나선 배경에는 우리나라 기업들도 클라우드·소프트웨어 중심 전략을 펼치고 있어 소프트웨어 라이프사이클 전체에 대한 보안이 필수로 요구되고 있기 때문이다.

송대근 지사장은 “국내에서도 다수의 소프트웨어 공급망 공격이 발견된 바 있으며, 올해 솔라윈즈, 카세야 공급망 공격을 계기로 국내에서도 소프트웨어 공급망 공격에 대한 경각심이 높아지고 있다. 더불어 데브옵스 도입이 가속화되면서 빠른 소프트웨어 라이프사이클에 대한 보안 내재화가 요구되고 있는 상황”이라고 설명했다.

AST는 소프트웨어 개발과 테스트, 배포 전 과정에서 취약점이 있는지 살펴보는 툴로, 우리나라에서는 개발 중 소스코드의 취약점을 찾는 정적분석(SAST, 시큐어코딩)으로 알려져 있다.

AST는 SAST 외에도 테스트 과정에서 취약점을 스캔하는 동적분석(DAST), SAST와 DAST를 통합한 IAST, 오픈소스 취약점과 라이선스를 점검하는 SCA가 필수다. 특히 최근 소프트웨어에 사용되는 모듈의 90% 이상이 오픈소스 라이브러리로 되어있으며, 도커허브 등에서 컨테이너 이미지를 사용하는 비중도 빠르게 늘어나고 있어 오픈소스·도커 등의 보안 문제를 해결하는 방법도 반드시 필요하다.

송대근 지사장은 “아마존은 11.6초마다 신규 서비스가 배포되고, 페이스북 안드로이드 앱 빌드는 하루 5만~6만회 이뤄진다. 국내 클라우드 사업자나 이커머스 기업들의 상황도 마찬가지”라며 “현재 발생하는 보안사고의 75%가 제품 취약점으로 인해 발생하지만, 대부분의 개발자들은 개발보안 전문성을 갖추지 못했다. 소프트웨어 개발·테스트·배포·운영 전 단계에서 보안을 자동화하는 AST가 필수”라고 강조했다.

글로벌 기술력, 국내 환경 최적화 해 제공

AST 도입의 걸림돌 중 하나가 개발자에게 친화적이지 않다는 것이다. 대부분의 개발자들은 소스코드 보안에 대해 잘 알지 못하며, 인식도 하지 못한다. 빠르게 개발해 배포해야 하는 CI/CD 파이프라인에 보안을 끼워넣는 것도 쉽지 않다. 따라서 모든 개발환경에 통합 가능하며, 개발자들이 쉽게 이용할 수 있는 AST가 무엇보다 필요하다.

체크막스는 ‘개발자 친화적 AST’로 인정받고 있으며, 보안에 대한 전문성이 없는 개발자도 쉽게 이용할 수 있다. 단 한번의 클릭으로 소스코드를 자동 분석하며, 다양한 개발언어 지원, 타 솔루션과 연계, 한글지원 등의 강점을 갖고 있다. 전체 코드에서 위험성이 있는 코드를 안내하며, 해당 코드를 수정했을 때 다른 코드에 미치는 영향을 파악해 안내한다. 문제 있는 코드를 가장 효과적으로 수정하는 방법을 제안한다.

지난 8월 오픈소스 취약점과 백도어를 탐지하는 더스티코(Dustico)를 인수하면서 SCA 역량을 한층 더 강화했다. 더스티코는 오픈소스와 써드파티 라이브러리를 내려 받지 않고 보안 점검을 할 수 있으며, 평판분석·행동분석 엔진을 이용해 악의적인 공격 위험을 사전에 탐지한다.

체크막스는 ▲애플리케이션 취약점 분석 CxSAST, CxIAST ▲오픈소스 라이선스 점검: CxSCA ▲시큐어코딩 교육, AST 베스트 프랙티스 전문가 교육 앱섹(AppSec) 서비스를 제공하며, 국내 시큐어코딩 가이드라인에서 규정한 항목을 모두 준수할 수 있게 한다.

송대근 지사장은 “국내 시큐어코딩 시장은 공공기관을 대상으로 한 규제준수에 초점을 맞춰왔지만, 클라우드가 확대되면서 기업·기관의 실제 수요에 의해 변화되고 있다. 시큐어코딩 가이드라인 준수 뿐 아니라 SAST·DAST·IAST 및 SCA가 요구하는 모든 요건을 만족시키면서 데브옵스에 완벽하게 통합될 수 있는 솔루션을 요구한다. 기업·기관의 소프트웨어 개발·운영 환경에 쉽게 적용될 수 있으며 다양한 소프트웨어 취약점 공격을 사전에 제거하기를 원하는 것”이라며 “소프트웨어 라이프사이클 전체를 보호하는 AST 풀 패키지로 국내 기업·기관의 안전한 소프트웨어 중심 비즈니스를 지원하겠다”고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.