인터뷰

“세상은 코드(Code) 상에서 작동한다”··· 커지는 SW 공급망 보안 필요성

이종현
[디지털데일리 이종현기자] “한국은 굉장히 빠르게 성장한 국가다. 삼성전자나 SK하이닉스로 대표되는 반도체를 비롯해 전자, 화학, 제약 등에서 두각을 드러내고 있다. 이것이 가능했던 이유는 소프트웨어(SW)에 있다. 코드(Code)가 이 모든 것들을 가능케 한 근본이다. 그리고 우리는 이 코드의 보안을 책임진다.”(로만 투마 체크막스 CRO)

6월 둘째주 진행된 글로벌 보안 행사 RSA 2022에 참석한 후 첫 행선지로 한국을 찾은 로만 투마(Roman Tuma) 체크막스 최고수익책임자(Chief Revenue Officer, CRO)가 꺼낸 첫 화두다.

체크막스는 애플리케이션(앱) 스캔 관련 기술을 제공하는 이스라엘 보안기업이다. 글로벌 시장조사기관 가트너의 앱 보안 테스팅 부문에서 4년 연속 리더로 선정되며 기술력을 입증했다.

◆민첩성 요구되는 IT 환경, 오픈소스 활용은 불가피

그는 전 세계적인 디지털 전환의 중심에는 SW가 있으며, 그 SW는 대부분 오픈소스(Open Source)로 구성된다고 전했다. 빠르게 변하는 시장 상황에 발맞춰 신규 서비스나 기능을 내기 위해서는 오픈소스의 활용이 불가피하다는 것이 그의 설명이다.

투마 CRO는 “SW를 개발할 때 선택할 수 있는 옵션은 2개다. 처음부터 자체 개발하거나, 오픈소스 라이브러리에 있는 것을 이용하는 것”이라며 “과거에는 6~12개월에 한 번씩 SW 업데이트가 이뤄지곤 했다. 그러나 요즘은 이와 같은 업데이트가 매일같이 이뤄진다. 개발자로서는 오픈소스를 쓸 수밖에 없는 상황”이라고 말했다.

SW 공급망의 보안 문제는 최근 특히 불거졌다. 2021년 연말 발생한 아파치 소프트웨어 재단의 오픈소스 자바(Java) 로깅 프레임워크 ‘로그4제이(Log4j)’에서 발견된 취약점은 ‘컴퓨터 역사상 최악의 취약점’이라고 불릴 정도로 심각한 영향을 미쳤고, 이는 여전히 현재진행형이다.

투마 CRO는 “개발자는 선택권이 없다. 오픈소스를 활용할 수밖에 없는데, 문제는 오픈소스 패키지의 안전성을 알아보기가 어렵다는 점이다. 악성코드란 것도 결국 코드다. 코딩 관점에서 보면 그저 잘 만들어진 코드처럼 보일 수 있다. 악의적인 목적을 쉽게 파악하기 어려운 이유”라며 “때문에 이를 살펴보기 위한 전문적인 지원이 필요하다”고 강조했다.

◆상관관계 분석·우선순위 부여 제공하는 ‘체크막스 퓨전’

SW 공급망 보안의 문제가 심화되는 가운데 체크막스는 RSA 2022서 ‘체크막스 퓨전’을 새롭게 공개했다. 체크막스 퓨전은 정적분석(SAST), 동적분석(DAST), 구성분석(SCA) 등 각종 분석 엔진들이 스캔한 결과에 대한 가시성과 상관관계(Correlation)를 분석하고, 확인된 문제들에 대한 우선순위를 부여하는 것을 골자로 한다.

투마 CRO는 ‘그림 퍼즐’을 예로 들며 “각각의 엔진에서 스캔한 결과는 하나의 퍼즐 조각이다. 하나의 퍼즐 조각으로는 어떤 그림인지 파악하기 어렵지만 여러 조각이 있다면 어떤 그림인지 파악하기 수월하다. 체크막스 퓨전은 여러 엔진에서 나온 결과를 여결함으로써 코드가 갖고 있는 취약점을 효과적으로 해결할 수 있도록 돕는다”고 피력했다.

체크막스 퓨전은 체크막스의 앱 보안을 위한 플랫폼 ‘체크막스 원’ 상에서 구동된다. 체크막스 원이 밑바탕이 되고, 체크막스 퓨전이 하나의 레이어로 자리한다. 이후 신규 솔루션이 추가될 때마다 체크막스 원 상의 레이어가 더해지는 방식이다.

쿠버네티스(Kubernetis) 기반의 엔진이라면 체크막스의 앱 보안 엔진 외에, 타사의 엔진을 탑재할 수도 있다. 일부는 체크막스의 엔진을, 또 다른 일부는 타사의 분석 엔진을 사용한 뒤 체크막스 퓨전으로 상관관계 분석 및 우선순위를 부여할 수도 있다.

클라우드를 기반으로 제공된다는 것도 특징 중 하나다. 아마존웹서비스(AWS) 등 퍼블릭 클라우드나 프라이빗 클라우드 등에서도 활용할 수 있다. 체크막스는 자사 솔루션 사용을 위한 교육까지 함께 제공하고 있다.

◆체크막스, 매월 100만개의 오픈소스 패키지 스캔

투마 CRO는 “스캔을 하더라도 정작 악성코드에 대한 정보가 없다면 의미가 없다”고 말했다. 체크막스는 자체적인 분석 엔진과 체크막스 퓨전과 같은 기능, 또 이를 아우르는 플랫폼에 더해 자체적으로 오픈소스 SW의 위협 인텔리전스(TI)를 축적하고 있다. 체크막스가 매월 스캔하고 있는 오픈소스 패키지는 100만개에 달한다.

체크막스에 따르면 주 단위로 1000만~2000만건 이상 다운로드되는 오픈소스 패키지에서 악성코드가 발견되곤 한다. 오랜 기간 오픈소스 생태계에 기여해온 개발자가 변심하거나, 선량한 오픈소스 배포자의 계정을 탈취한 뒤 악성 오픈소스 패키지를 배포하는 사례도 있다.

이에 체크막스는 오픈소스 SW의 개발자에 대한 평판 분석도 제공한다. 어떤 개발자가 신뢰할 수 있는 사람인지, 그의 계정이 해킹됐다거나 하는 등의 정황은 없는지 등에 대한 인텔리전스도 제공한다는 계획이다.

그는 “지금 사용하고 있는 코드는 누가 만들었고, 만든 사람은 신뢰할 수 있는지에 대한 질문을 던져보고 싶다”며 “활용한 오픈소스에 취약점이 있어서 보안사고가 발생할 경우, 개발자 입장에서는 ‘나만 쓴 것도 아닌데’ 같은 생각을 할 수 있다. 그러나 유명 브랜드에서 이와 같은 보안사고가 발생한다면 사람들은 ‘왜 그런 사고가 발생했나’에 관심을 갖지 않는다. 당장 그 브랜드에 대한 비판으로 이어진다. 이것이 SW 공급망에 대해 파악하고 관리해야 하는 이유”라고 말했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널