솔루션

[SaaS2023] OSC코리아가 말하는 ‘오픈소스 보안 위기’ 생존법

이나연 기자
이제응 OSC코리아 대표가 22일 열린 ‘SaaS 고도화 전략 콘퍼런스: 애플리케이션 리빌딩, SaaS로의 여정’ 세미나에서 ‘하이브리드 환경의 오픈소스 거버넌스 자동화 전략’을 주제로 발표하고 있다.
이제응 OSC코리아 대표가 22일 열린 ‘SaaS 고도화 전략 콘퍼런스: 애플리케이션 리빌딩, SaaS로의 여정’ 세미나에서 ‘하이브리드 환경의 오픈소스 거버넌스 자동화 전략’을 주제로 발표하고 있다.

[디지털데일리 이나연 기자] 오픈소스 보안 관리 위기가 급증하면서 애플리케이션(이하 앱) 보안 역시 중요한 측면으로 조명받고 있다. 관련 보안이 복잡하고 다양한 측면을 가진 문제인 만큼, 커스텀 코드에 대한 테스트와 오픈소스 라이브러리에 대한 취약점을 분석하는 것이 필수가 된 것이다.

22일 <디지털데일리>는 서울 중구 전국은행연합회 은행회관에서 ‘SaaS 고도화 전략 콘퍼런스: 애플리케이션 리빌딩, SaaS로의 여정’ 세미나를 개최했다. 이제응 OSC코리아 대표는 이날 ‘하이브리드 환경의 오픈소스 거버넌스 자동화 전략’을 주제로 발표에 나섰다.

이제응 대표는 “앱 80~90%는 오픈소스 라이브러리 비중이라 나머지 10~20% 커스텀 코드에 대한 테스트와 SCA 바이너리 수준 분석은 필수”라고 밝혔다. 오픈소스는 바이너리 패키지 형태로 퍼블릭 레파지토리(저장소)를 통해 배포되는 식이다.

문제는 퍼블릭 레파지토리가 무결성을 보장하지 않는 데다, 네트워크 방화벽으로는 선별적으로 패키지를 차단하기 어렵다. 이런 이유로 개발자들은 레파지토리 매니저를 사용한다. 내부에만 사용되는 공통 라이브러리를 호스팅하기 위한 저장소 용도로, 보안상 이유로 개발자가 외부 네트워크에 접속하지 못할 때도 필요한 라이브러리를 사용하게 하는 것이다.

실제 소프트웨어 공급망 공격기법은 나날이 다양화하는 추세다. 주요 패키지명 타이핑 오류를 활용하는 기법으로 임의 PC에 대한 접근권한을 얻는 ‘타이포스쿼팅’, 앱에서 사용하는 패키지명을 찾아낸 후 내부보다 외부 최신 의존성을 우선하는 관리방식 빌드 특성을 활용한 ‘의존성 혼동’ 등이 그 예시다.

이 대표는 “SCA 바이너리 수준 분석에 있어 앱을 구성하는 오픈소스 요소를 정확히 식별해야 한다”며 “양질의 최신 데이터베이스를 통해 취약점·라이선스·품질 등 위협요소를 파악해 의존성을 정확히 추적해야 한다”고 강조했다.

OSC코리아가 공급하는 소나타입 넥서스 플랫폼이 글로벌 최대 데이터베이스(DB)를 기반으로 1억2000여개 취약점 스캐닝을 실시간 제공하는 이유도 여기에 있다. 넥서스 플랫폼은 ▲경쟁사 대비 70% 많은 취약성 DB ▲NVD 대비 10배 빠른 속도 ▲65명 이상 글로벌 보안 전문연구원 등을 장점으로 내세운다.

넥서스 플랫폼이 새로운 취약점 정보를 빠르게 수집해 개발자에게 실행 가능한 가이드를 제공한 결과, 2000여개사(1500만명 개발자)를 주요 고객사로 보유하게 됐다. 이 플랫폼은 레파지토리 매니저로서 전 세계 개발자들이 가장 많이 사용하는 수단이기도 하다.

이 대표는 “고객사인 현대나 계정 업체 경우, 전사 차원에서 넥서스 파이어월을 통해 실제 들어오는 다양한 공격이나 취약성 정보를 방어함으로써 개발자들이 관련한 리소스를 최소화할 수 있게 지원하고 있다”고 말했다.

한편, 소나타입 넥서스 플랫폼은 ▲넥서스 레파지토리 ▲넥서스 파이어월 ▲넥서스 라이프사이클 등 세 가지 솔루션으로 구성된다.

먼저 넥서스 레파지토리는 소프트웨어 생명주기(SDLC)에 걸친 라이브러리로 다양한 언어와 패키지를 지원한다. 넥서스 파이어월은 위험요소의 SDLC 유입을 자동으로 차단하는 방화벽 솔루션이다. 넥서스 라이프사이클 경우, SDLC 모든 단계에 걸쳐 위협요소를 지속 확인하고 정책을 반영해 취약점을 교정해 준다.

이나연 기자
lny@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널