[데이터넷] 클라우드는 ‘코드’로 운영된다. 모든 서비스가 코드로 제작될 뿐 아니라 인프라까지도 코드로 구성된다. 이 환경에서 개발단계부터 운영단계까지 전체 라이프사이클을 아우르는 코드 보안 도구와 컴플라이언스 툴이 필요하며, 코드를 공급받는 수요자 관점에서의 보안도 필수다. 코드 보안 기술 트렌드와 시장 동향을 알아본다. <편집자>

2021년 12월 발견된 로그4j 취약점(로그포셸)은 공급망 공격의 위험성을 잘 알려준 것이다. 전 세계 대부분의 웹서비스에서 사용하는 로그4j에서 발견된 이 취약점은 공격자가 로그4j 라이브러리를 사용해 로그 메시지를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있어 CVSS에서 가장 높은 심각도를 알리는 10점을 받았다.

아파치재단은 이 취약점을 공개하고 긴급 조치 사항을 알렸으며, 한국인터넷진흥원 등 유관기관과 보안 기업들도 적극적으로 취약점 해결 방법을 안내했다. 그러나 기업·기관은 방대한 시스템의 어떤 파일에 이 취약점이 있는지 파악하기 어려워 제대로 조치하지 못했다. 이 취약점이 자바 애플리케이션뿐 아니라 해당 라이브러리를 사용하는 모든 서비스에 영향을 미쳐 크고 작은 피해를 일으켰다.

소프트웨어 취약점은 보통 패치나 취약점 해결 방안과 함께 공개된다. 그러나 기업·기관은 이를 즉시 조치하지 못한다. 취약점이 발표됐다는 사실조차 모르는 경우가 태반이며, 취약점 영향을 받는 소프트웨어가 무엇인지 알지 못한다. 패치·수정을 했다가 시스템이 장애·오류를 일으킬 것을 우려해 조치하지 않는 경우도 있다.

이미 오래전 공개되고 패치가 배포된 취약점도 조치되지 않는 경우가 많다. 담당자가 이 사실을 알지 못하거나, 장애를 우려해 패치하지 못하는 경우다. 취약점을 포함하고 있는 소프트웨어가 해당 취약점 패치 불가인 상태도 있다. 소프트웨어 자체에 문제가 있거나 소프트웨어 개발사가 사라지거나 지원조직이 없는 경우 등을 들 수 있다.

가장 최근에는 마이크로소프트 제품에서 잇달아 발견된 취약점이 1년 가까이 공격에 이용되고 있어 주의가 요구된다. 카스퍼스키에 의하면 마이크로소프트 브라우저엔진 MSHTML에서 발견된 원격 코드 실행 취약점(CVE-2021-40444)은 작년 9월 패치 됐지만, 올해 2분기에 1분기 대비 8배나 증가하면서 공격이 급격하게 늘었다.

개발자 55% “보안문제로 애플리케이션 배포 연기”

애플리케이션이 클라우드로 이동하면서 하드웨어, 소프트웨어의 경계가 사라지고 모두 코드 형태로 진화하게 됐으며, 개발 프로젝트에서도 인프라 코드와 개발 코드가 함께 관리되고 있다. 그러면서 애플리케이션 취약점이 크게 늘고 있는데, 문제는 애플리케이션 개발·배포 시 취약점 점검을 제대로 하지 않는다는 것이다.

애플리케이션 개발 단계에서 취약점을 제거하는 것이 운영 과정에서 제거하는 것보다 수십배의 비용 절감 효과를 볼 수 있지만, 소프트웨어 개발 과정이 복잡해진다. 속도와 효율성을 중요시하는 클라우드 환경에서 복잡성을 높이는 보안은 후순위로 밀려난다.

그러나 보안을 고려하지 않으면 혁신의 속도는 더 늦춰진다. 레드햇 조사에 따르면 개발자의 55%가 지난 1년 동안 보안 고려사항으로 인해 애플리케이션 배포를 연기해야 했으며, 애플리케이션 라이프 사이클의 전 단계에서 복잡한 보안 요구로 어려움을 겪고 있다고 밝히기도 했다.

송대근 체크막스코리아 지사장은 “디지털 트랜스포메이션이 가속화되면서 현재를 ‘소프트웨어 시대’라고 불러도 이상하지 않게 됐다. 클라우드 서비스 환경의 전환과 빠른 개발을 위해 다양한 개발·운영 방법론과 새로운 아키텍처와 레퍼런스가 등장하고 있는데, 이로 인해 개발자에게 보안의 많은 부분을 위임하게 됐고, 개발자와 보안의 마찰이 생기고 있다”며 “이 문제를 해결하기 위해 애플리케이션 보안(AppSec) 통합 플랫폼이 필요하다”고 밝혔다.

가트너 “클라우드 전환으로 AST 급성장”

AppSec을 위한 애플리케이션 보안 테스팅(AST) 도구는 ▲프로그래밍·테스트 단계에서 소스, 바이트코드, 이진코드를 분석하는 SAST ▲테스트·운영 단계에서 실행 중인 애플리케이션을 분석하는 DAST ▲애플리케이션 내부에서 애플리케이션 기능을 테스트하는 IAST ▲소프트웨어를 구성하는 요소를 식별해 알려진 취약점, 잠재적인 라이선스, 운영 위험을 찾는 SCA 등이 포함된다.

가트너는 클라우드 전환으로 애플리케이션이 늘어나면서 AST 수요가 증가하고 있어 지난해 26억달러 규모의 시장이 올해 31억달러 이상으로 성장할 것이며, 클라우드 성장과 함께 더 높은 성장률을 보일 것이라고 예측했다.

더불어 가트너는 AST에 추가될 수 있는 기술로 ▲API 테스트 ▲워크플로우를 자동화해 소프트웨어 취약점 테스트와 수정을 간소화하는 ‘ASOC’ ▲SAP, 오라클 등 대규모 비즈니스 애플리케이션 취약점과 잘못된 구성, 알려진 취약성, 오류를 식별하는 ‘비즈니스 크리티컬 AST’ ▲컨테이너 이미지나 인스턴스화된 컨테이너에서 보안 문제를 검사하는 ‘컨테이너 보안’ ▲개발자·엔지니어링 팀 구성원의 보안 코드 작성을 지원하는 ‘개발자 지원 도구’ ▲소프트웨어에 잘못된 명령을 입력해보면서 프로그램 충돌이나 비정상적 동작, 메모리 누출 등의 문제가 발생하는지 테스트하는 ‘퍼징’ ▲IaC 보안 테스트 ▲모바일 AST 등을 제안했다.

체크막스 “취약점 교정 시간 83% 줄여”

가트너가 제안한 AST의 거의 대부분의 기능을 제공하는 체크막스는 가트너 AST 매직쿼드런트에서 매년 리더로 인정받고 있다. 체크막스의 AppSec 통합 솔루션 ‘체크막스원’은 클라우드를 위해 설계되었으며, 클라우드에서 제공돼 전체 코드베이스를 보호할 수 있다. 맞춤형 코드, 오픈소스 라이브러리와 공급망, IaC, 컨테이너 등 최신 애플리케이션을 보호하며, 소프트웨어 개발 수명주기에 맞춰 제공된다.

SAST, SCA, 공급망 보안(SCS), API 보안, DAST, 컨테이너 보안 솔루션, 그리고 IaC 파일 구문 분석으로 안전하지 않은 공격을 찾기 위해 오픈소스 커뮤니티와 함께 개발된 무료 솔루션 KICS IaC를 단일 플랫폼에서 제공한다.

개발자 교육을 위한 코드베이싱, 업계 최고 보안 전문가로 구성된 보안 리서치 조직, 그리고 매니지드 서비스도 지원한다.

클릭 한 번으로 소프트웨어 재료 명세(SBoM)를 생성할 수 있어 공급망 공격 대응에 도움을 주며, 개별 솔루션에서 탐지된 결과를 결합, 상관관계를 분석하고, 우선순위를 제공해 복잡한 운영 환경에서 보안 문제를 쉽게 분석할 수 있게 도와준다.

체크막스 솔루션을 도입한 한 금융사는 기존 대비 83%의 취약점 교정 시간을 줄여 개발자 시간을 절약하고 생산성을 높이는 효과를 얻었다.

이 금융사는 기업 합병으로 성장을 가속화하고 있는데, 서비스를 배포한 후 취약점을 해결하는 보안 프로세스로 성장 속도를 보장할 수 없었다. 이 회사는 리프트 앤 시프트(Lift and Shift)를 목표로 시큐어 SDLC를 진행, 몇 년에 걸쳐 단계적으로 체크막스 솔루션을 도입, 확대했으며, 기대했던 것 이상의 효과를 거뒀다고 평가한다.

송대근 지사장은 “코드로 움직이는 세상에서 AppSec이 필수다. 효율적이고 적용이 쉬운 보안 툴을 도입해 개발을 가속화해야 하며, 개발·운영 과정에서 오염됐을 가능성을 염두에 두고 항상 체크해야 한다. 특히 오픈소스 등 외부에서 가져오는 소스는 위험하다는 전제로 점검해야 한다”며 “점점 더 증가하는 오픈 소스·공급망 보안 위협, 컨테이너·IaC 취약점 등의 문 제를 해결하는데 체크막스의 통합 플랫폼이 가장 성공 적인 사례를 만들고 있다”고 말했다.

규제준수 솔루션에 그친 ‘시큐어코딩’

우리나라에서는 공공기관에 공급하는 소프트웨어의 취약점 점검을 의무화하면서 SAST의 개념을 차용한 ‘소프트웨어 개발 보안(시큐어코딩)’ 시장이 성장을 이어왔다. 정부·공공기관에 공급하는 소프트웨어는 행정안전부 고시에 따라 개발자가 구현·개발 단계에서 확인해야 하는 49개의 보안 약점을 준수해야 한다.

규제로 인해 시큐어코딩 인식이 높아졌지만 규제에서 정의한 항목만 확인하면 소프트웨어가 안전하다는 인식이 생겼다. 이로 인해 기술 완성도가 떨어지는 솔루션이 봇물처럼 터져나왔으며, 심각한 저가경쟁으로 인해 벤더의 수익성이 약화되고 시장은 성장하지 못했다.

클라우드 네이티브 환경이 확산되면서 오픈소스, 컨테이너 등 새로운 개발환경을 지원하는 기술 개발이 필수였지만, 국내 기업들은 행안부 지침만을 고수하면서 공공시장에 안주해 기술의 발전을 따라가지 못하고 뒤쳐져 있는 상태다. 시큐어코딩이 공공을 시작으로 민간까지 확대되어 시장을 넓힐 것이라는 기대는 사라지게 됐고, 대부분의 민간기업은 여전히 시큐어코딩에 대한 인식이 낮은 상황이다.

김성운 스패로우 부장은 “최근 소프트웨어 공급망 관리가 강조되고 있으며, 오픈소스와 외부 코드 보안, 컨테이너·쿠버네티스 보안 등이 반드시 필요하다. 그러나 여전히 보안을 후순위로 생각하고 있으며, 개발 단계에서 보안 문제와 논리적 오류 등을 제거하는 보안 약점과 이미 운영 중인 소프트웨어에 내재된 보안 취약점을 혼동해 운영 중 애플리케이션의 보안 취약점 스캐닝으로 만족하는 고객이 많다”며 “소프트웨어 보안 약점을 사전에 제거할 수 있는 적절 한 도구를 사용해 공격 가능성을 근본부터 줄여야 한다”고 말했다.

SW 가치 높이는 AST

국내 보안 기업 중 AST 제품군을 모두 지원하는 기업은 스패로우가 유일하다. 스패로우 제품군은 국내외 주요 컴플라이언스를 지원하며, 현대기아차에서 요구하는 보안코딩룰 98% 이상 지원율을 확보, 서비스 기업 S사를 비롯한 많은 기업에게 통합 솔루션을 제공해 컴플라이언스와 보안 강화 요구를 만족시키고 있다.

또한 스패로우는 ITSM과 연계해 보안 강화를 고민하는 최적의 솔루션을 제안한다. GS ITM과 MOU를 맺고 GS ITM의 IT 관리 솔루션 U.STRA ITSM에 스패로우의 소프트웨어 품질 및 보안 관련 솔루션을 연동해 IT 서비스 관리와 보안 점검을 통합 제공한다. 양사의 협력으로 U.STRA ITSM을 통한 보안 취약점 자동 점검 및 분석이 가능해져, 개발과 보안, 운영을 아우르는 데브섹옵스(DevSecOps) 환경을 구축할 수 있다.

시큐어코딩 도구 스패로우 SAST는 AI를 적용해 검출된 취약점의 수정 코드를 제안하고, 정오탐 판별 기능 개선을 지원한다. 현대기아차 차량용 임베디드 보안 코딩 가이드와 현대기아 1차 협력사(HKMC) 납품을 위한 보안 코딩 검증 기준으로 사용하고 있다. SK 건설을 비롯한 종합 건설사의 소프트웨어 취약점 진단 사업에도 적용됐으며, 3년 연속 전자정부 사업 수 행 기업 기술로 선정, 중국 화웨이 등 해외 고객에도 공급됐다.

정적분석 도구 스패로우 SAQT는 22개 이상 언어와 프레임워크를 지원하며, 국내외 컴플라이언스와 표준 가이드를 제공한다.

테스트 단계에서 보안 취약점을 진단하는 스패로우 DAST는 타사 도구보다 30% 이상 빠른 분석 속도를 제공하며, 트루스캔 기능으로 서버 내부 동작까지 직 접 분석할 수 있다. 여러 공공기관과 통신사, IT 기업 등에 공급됐다.

스패로우 SCA는 오픈소스 관리를 위한 올인원 솔루션으로, 코드 없이 제공되는 바이너리 파일도 점검 가능하며, 오픈소스 라이선스 정보와 CVSS 점수를 통한 보안 심각성 관리를 지원한다. SBoM 내보내기 기능을 적용해 공급망 위험 가시성을 확보할 수 있다.

김성운 부장은 “소프트웨어 개발 시 보안 취약점 관 리는 무엇보다 우선되어야 하며, 시큐어코딩·품질관 리 등 정적분석과 웹 기반 취약점 분석·관리를 수행하는 동적분석, 오픈소스 라이선스와 보안 취약점 관리가 필수”라며 “스패로우는 SAST, DAST, SCA 등 AST를 종합 제공하는 국내 유일의 기업으로, 특히 정적분석 분야에서 가장 많은 고객을 확보하고 있다. 스 패로우는 AST 분야 전반에서 기술력을 갖추고 고도 화하면서 소프트웨어 가치를 높이고 있다”고 말했다.