시프트 레프트 보안으로 보안 취약점 제거한 서비스 개발 지원
[데이터넷] 모든 소프트웨어에는 취약점이 있으며, 이를 빠르게 발견하고 조치해야 공격 가능성을 낮출 수 있다. 그러나 취약점 공개와 함께 패치가 배포되어도 이 사실을 알지 못하거나, 알고 조치하려 해도 해당 취약점에 영향을 받는 시스템을 찾지 못하고, 패치 적용 시 어떤 장애가 발생할지 몰라 즉각 조치가 어렵다. 오픈소스는 취약점 해결이 더 어려운데, 방대한 오픈소스 커뮤니티에서 공개하는 취약점 정보를 일일이 찾아 확인하는 것은 불가능에 가까운 일이다.
개발자 보안 플랫폼 스닉(Snyk)의 ‘오픈소스 소프트웨어의 사이버 보안 문제 해결’ 보고서에 따르면 취약점을 조치하는데 평균 97.8일이 걸리는 것으로 나타났으며, 34%의 기업은 오픈소스 보안 정책조차 없으며 17%는 대책이 있는지 없는지 확신하지 못한다고 답했다.
김병선 OSBC 부사장은 “소프트웨어를 배포한 후에는 명백히 심각한 취약점이라 해도 즉각 조치하기 매우 어려우며, 많은 시간과 비용이 든다. 그래서 취약점 진단을 개발단으로 이동시키는 시프트 레프트(Shift-left)가 동의를 얻고 있다”며 “이를 성공시키기 위해서는 개발자 친화적이며 다양한 개발 환경을 지원하는 취약점 진단 도구가 필요하다”고 말했다.
코드에서 클라우드까지 보호
OSBC 스닉을 국내에 독점 공급하는 파트너로, 오픈소스 소프트웨어 보안·컴플라이언스 솔루션 공급과 컨설팅 사업을 전개해 온 전문기업이다. 스닉은 ▲코드 ▲오픈소스 ▲컨테이너 ▲IaC 취약점 진단 모듈로 구성돼 있어 모든 종류의 코드 취약점을 소프트웨어 배포 전, 개발 단계에서 진단하고 해결할 수 있게 한다. 또한 소스코드 저장소와 연동된 UI를 통해 자동으로 수정하거나 CLI에서 명령어 하나로 취약점 없는 버전으로 수정할 수 있게 한다.
스닉은 올해 초 클라우드 보안 기업 푸가(Fugue)를 인수하면서 SaaS로 제공되는 ‘스닉 클라우드’를 출시, ‘코드에서 클라우드로, 다시 코드로’ 이어지는 피드백 루프를 완성할 수 있게 됐다. 스닉은 1년동안 사용했을 때 코드 취약점을 찾아 수정하는데 걸리는 시간을 줄이고 보안 위험을 60% 이상 개선했으며, 스닉 클라우드를 통해 더 많은 개발환경에서 이러한 이점을 쉽게 도입할 수 있게 됐다고 설명했다.
김병선 부사장은 “최근 개발자들은 빠른 개발 환경 속에서도 보안 점검을 통해 안전한 서비스를 출시하기를 원한다. 스닉은 개발자의 이러한 요구를 만족하는 솔루션으로, 개발도구, 형상관리, CI/CD, 런타임, 레지스트리, 이슈관리 등 모든 개발 환경 도구와 원활하게 연동할 수 있다. 이 점을 인정받아 구글, 몽고디비, 세일즈포스, 아틀라시안 등에서도 스닉을 활용해 안전한 서비스를 출시할 수 있도록 한다”고 말했다.
스닉은 방대하고 정확한 취약점 정보를 보유하고 있다. 스닉의 취약점 DB는 CVE 취약점대비 4.4배 많은 취약점 정보를 포함하고 있고, NVD 대비 최대 46일 더 빠르게 취약점을 탐지했다. NVD의 자바 스크립트 관련 취약점의 92%는 스닉이 먼저 탐지한 것이다.
개발자 인식 개선으로 시장 확산 시킬 것
OSBC는 스닉의 장점을 적극적으로 알리면서 데브섹옵스 도입을 촉진할 계획이다. 클라우드로 인해 소프트웨어 라이프사이클이 짧아지고 있어 개발과 보안, 운영이 통합되어야 한다는 인식은 확실하게 자리잡고 있으며, 쉽고 안정적으로 데브섹옵스 전환을 고민하는 기업과 개발자들이 늘어나고 있다고 확신하고 있다.
이에 개발자 보안과 관련한 교육, 세미나, 캠페인을 진행하고 있으며, 개발자 커뮤니티를 대상으로 적극적인 마케팅을 펼칠 계획이다. 특히 이 솔루션은 개발자들이 쉽게 도입해 사용할 수 있기 때문에 개발자들의 인식 개선이 이뤄지면 빠르게 시장에 확산될 수 있을 것으로 기대된다.
김병선 부사장은 “디지털 트랜스포메이션은 보안을 전제로 해야 하며, 가장 기본인 코드 보안에서 시작해야 한다. OSBC는 오픈소스 및 개발자 보안과 컴플라이언스를 위한 다양한 기술, 솔루션, 서비스를 제공하고 있으며, 전문 컨설팅을 제공하고 있다”며 “고객의 성공을 위한 소프트웨어 보안을 알릴 수 있도록 적극적인 영업과 마케팅, 컨설팅을 제공할 것”이라고 말했다.
