컨텐츠 바로가기

03.29 (금)

"오픈소스는 악성코드 소굴...체크막스, 최대 규모 대응 정보 보유"

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
전자신문

송대근 체크막스 지사장이 SW공급망 보안 위협에 대해 설명하는 모습.

<이미지를 클릭하시면 크게 보실 수 있습니다>


“어플리케이션이 폭발적으로 증가하면서 공격자는 새로운 공격 경로로 소프트웨어(SW)공급망을 선택했습니다. 공급망 공격이 실제 위협으로 부상했고 피해가 기하급수로 늘고 있습니다”

송대근 체크막스 지사장은 15일 전자신문 11월 CIO·CISO 조찬세미나에서 “SW 공급망 공격 대응 방안을 찾는 기업 문의가 급증하고 있다”며 이같이 강조했다.

송 지사장은 공급망 공격 증가 배경을 최근 SW개발 환경에서 찾았다. 주요 공격 수단으로는 오픈소스를 지목했다.

송 지사장은 “SW개발 과정은 수만개의 부품을 조립하는 자동차 생산 과정과 유사하다”면서 “SW 개발주기가 짧아지면서 핵심코드는 개발사가 만들고 다양한 오픈소소를 외부에서 차용하는 경우가 많다”고 설명했다.

이어 “모두가 개발을 위해 오픈소스 패키지를 사용한다”면서 “매달 약 50만개 오픈소스 패키지가 출시되고 있고 이 모든 것이 잠재적 위협이 될 수 있다”고 강조했다.

송 지사장은 “오픈소스 내 악성코드를 삽입하거나 취약점을 이용해 공격이 이뤄진다”면서 “그럼에도 불구하고 대다수 개발자가 오픈소스를 신뢰하고 있다”고 지적했다.

그러면서 “공개돼 있고 사용자의 평가가 축적돼 있기 때문인데 그렇다고 해서 오픈소스의 안정성이 보장되지 않는다”면서 “오픈소스 패지키 취약점은 CVE 코드 등을 이용해 관리할 수 있겠지만 악의적으로 추가한 코드는 쉽게 찾을 수 없다”고 설명했다.

송 지사장은 체크막스의 SW공급망 보안 솔루션의 강점도 소개했다.

기존 솔루션이 오픈소스 라이브러리 구성 현황(SBOM) 관리, 위협 분석 기능만 보유한데 반해 체크막스는 △코드 기여자에 대한 평판분석과 오픈소스 패키지 분석 △정적·동적 오픈 라이브러리 행위 분석 △위협 인텔리전스 데이터베이스 제공 등 기능으로 차별화했다는 설명이다.

송 지사장은 “체크막스는 매월 백만 개 이상 오픈소스의 악성코드를 분석, 최대 규모 악성 오픈소스 정보를 보유하고 있다”면서 “글로벌하게 우수성을 인정받고 있는 정적코드분석 엔진을 이용해 의심 행위를 식별한다”고 말했다.

이날 세미나에서 박찬수 체크막스코리아 실장은 '애플리케이션을 위한 종합 애플리케이션 보안 플랫폼' '체크막스 원'을 소개했다. 체크막스 원은 정적, 동적, 오픈소스 스캔 등 기능별로 다양한 엔진을 모아 단일 플랫폼에서 제공한다. 체크막스 엔진이 아닌 다른 엔진과도 호환이 가능하다. 체크막스 퓨전 엔진도 이 플랫폼 위에서 구동된다. 서비스형 소프트웨어(SaaS) 기반으로 제작돼 아마존웹서비스(AWS) 등 클라우드 상에서 활용할 수 있다.

최호기자 snoop@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.