체크막스, 한국지사 설립하고 통합 AST 플랫폼 장점·개발보안 중요성 강조
SW 개발보안 인식 제고 위해 개발자 대상 시큐어코딩 토너먼트 진행
[데이터넷] “어린이들에게 모르는 사람을 따라가지 말라고 하는 것처럼, 개발자들에게 누가 개발했는지 모르는 코드를 사용하지 말라고 해야 한다.”
애드리안 옹(Adrian Ong) 체크막스 EMEA/APJ 지역 채널 및 북아시아 영업 총괄 부사장은 자사의 ‘체인 얼럿(Chain Alert)’ 개발팀장의 의견을 인용하며 “소프트웨어 공급망 공격이 증가하고 있는데, 특히 오픈소스 라이브러리 취약점이 심각한 문제를 일으킨다. ‘log4j’ 취약점이 그 대표적인 예로, 아파치 라이브러리에 취약점이 있었고, 이를 이용한 서버가 중대한 위협에 직면하게 된 것”이라며 “오픈소스 라이브러리를 내려 받기 전, 반드시 신뢰할 수 있는 개발자에 의한 것인지, 보안 약점은 없는지 확인해야 한다”고 강조했다.
체인얼럿은 체크막스가 최근 공개한 무료 서비스로, 깃허브에서 검색되는 NPM 패키지가 신뢰할 수 있는 개발자가 개발한 것인지, 취약점이 있는지 스캔해 볼 수 있도록 한다. 공격자는 깃허브에 직접 악성코드를 업로드하기 보다 개발자 계정을 탈취해 NPM 패키지에 취약점을 삽입하는 방법을 사용한다. 체인얼럿은 서비스를 이용하는 개발자가 구독하는 프로젝트와 관련된 보안 문제를 사전에 경고한다.
애드리안 옹 부사장은 “이 서비스는 개발자들이 신뢰할 수 있는 개발자의 안전한 코드만을 사용할 수 있도록 지원하기 위한 것이다. 내년 1분기 오픈소스 코드를 실제 개발자 코드와 매칭해서, 문제 있는지 없는지 확인할 수 있도록 하는 신규 서비스를 출시할 예정”이라고 밝혔다.
국내 시큐어코딩 컴플라이언스 지원 준비 완료
한편 체크막스는 13일 기자간담회를 열고 한국시장 공략 계획에 대해 소개했다. 체크막스는 글로벌 애플리케이션 보안 테스팅(AST) 솔루션 기업으로, 11월 한국지사를 설립, 송대근 초대 지사장을 영입하면서 국내 시장 진출에 나섰다.
체크막스는 멀티 클라우드 전반에서 소프트웨어 개발 라이프사이클에 맞춘 보안 점검을 지원하며, 소프트웨어 개발 보안 전문가 교육을 제공한다. 단일 플랫폼에서 SAST, IAST, 오픈소스 코드 점검(SCA) 등 AST를 위한 다양한 기술을 통합·제공하며, 단 한번의 클릭으로 쉽게 취약점을 찾고 가장 효과적인 코드 수정 방안을 제안한다. SCM, IDE, CI/CD 파이프라인, 깃허브 등 소프트웨어 개발 도구 및 커뮤니티와 긴밀하게 통합되며, 개발자 친화적인 환경을 제공한다.
취약점 탐색 내역을 SIEM·SOC와 연동해 신속하게 전사 관점의 취약점 대응이 가능하도록 한다. 이를 통해 log4j와 같은 신규 취약점이 공개됐을 때 취약한 소프트웨어 버전을 사용하는 시스템을 찾아 SIEM·SOC와 연계해 해당 시스템의 취약점 문제를 신속하게 해결할 수 있도록 지원한다.
또한 제품 전체와 웹사이트, 데이터시트 등에 대한 한글 지원을 완료했고, 국내 시큐어코딩 가이드라인까지 지원해 국내 환경 공략을 위한 제반 준비를 마쳤다. 더불어 매니지드 보안 서비스(MSP) 파트너를 영입해 기업·기관이 사용하는 소스코드를 정기적으로 스캔하고 취약점 공격 피해를 줄일 계획이다.
송대근 체크막스코리아 지사장은 “우리나라 기업·기관들도 통합 플랫폼 기반 AST 도입에 많은 관심을 갖고 있다. 클라우드와 함께 비즈니스 속도가 빨라지면서 신속한 서비스·제품 출시를 위해 데브옵스로 전환하고 있으며, 이에 따른 보안 문제 해결도 고민하고 있다”며 “체크막스는 상용·인하우스 소프트웨어는 물론이고, 광범위한 오픈소스 커뮤니티, IaC 등도 원스톱 스캐닝과 상관관계 분석으로 취약점에 대한 인사이트를 가질 수 있다”고 말했다.
그는 “또한 국내 시큐어코딩 컴플라이언스 지원과 한글화 작업을 모두 마쳤고, 국내 총판 및 파트너를 통해 솔루션과 서비스를 안정적으로 제공할 수 있는 기반을 마련했다. 수 년 전부터 국내 기업·기관에게 체크막스 솔루션을 공급해 온 파트너는 물론이고, 새로 영입된 각 분야 전문 파트너 및 SI 사업자 등을 통해서도 체크막스 솔루션과 서비스를 제공할 수 있게 할 것”이라고 말했다.
개발자 보안 전문성 지원 위한 프로그램 제공
체크막스는 소프트웨어 공급망 공격을 원천 제거할 수 있는 방법이 소프트웨어 개발 보안이라는 점을 강조하며 국내 개발자들의 보안 인식과 보안 전문성을 높일 수 있는 프로그램을 마련하고 있다.
그 일환으로 오는 22일부터 개발자 대상 개발보안 토너먼트를 진행할 계획이다. 이 행사는 온라인으로 진행되며, 개발자들의 시큐어코딩 역량을 테스트해 좋은 점수를 획득한 개발자들에게 소정의 상품을 제공할 계획이다.
송대근 지사장은 “국내 시큐어코딩 시장에서 많은 경쟁사들이 치열한 경쟁을 벌이고 있지만, 코드를 직접 개발하는 전통적인 환경을 위한 솔루션 경쟁이었다. 그러나 최근 2년간 국내 기업·기관이 빠르게 클라우드로 전환하면서, 마이크로서비스 아키텍처를 채택, 다양한 커뮤니티에서 소프트웨어 라이브러리를 가져와 레고 블록처럼 조립하는 방식으로 소프트웨어를 개발하고 있다”며 “이 새로운 환경을 위한 통합 플랫폼 기반 AST는 체크막스의 가장 강력한 경쟁력이다. 이 점을 국내 고객에게 적극 알리면서 AST 시장을 확장해나가겠다”고 말했다.
