체크막스 “오픈소스는 정글··· 공급망 보안에 대한 고민 시작해야”

2022.05.26 15:02:39 / 이종현 bell@ddaily.co.kr

관련기사
IT업계 뒤흔든 자바 취약점 ‘Log4j’··· 체크막스 “시큐어코딩 생활화해야”
체크막스, 송대근 지사장 선임…애플리케이션 보안 테스팅 솔루션 시장 공략 나서

26일 간담회에서 발표 중인 자키 조렌슈타인 체크막스 공급망 보안 총괄

[디지털데일리 이종현기자] “대부분의 개발자는 필요에 의해 오픈소스를 사용하면서도, 오픈소스를 사용할 것인지 말 것인지에 대한 딜레마에 빠집니다. 본인이 선택한 오픈소스가 신뢰할 수 있는 오픈소스인지 파악하기 어려운 ‘정글’이기 때문입니다. ‘내가 개발자라면 어떻게 현명하게 선택할 수 있을까’라는 고민이 주요 과제로 떠올랐습니다.”(자키 조렌슈타인 체크막스 공급망 보안 총괄)

26일 체크막스는 ‘신뢰할 수 있는 앱 보안’을 주제로 오프라인 간담회를 개최했다. 오픈소스 내 사이버보안 위협 트렌드와 체크막스가 제시하는 해결 방안 등을 소개했다.

체크막스는 이스라엘에 본사를 둔 사이버보안 기업이다. 앱색(AppSec) 테스팅 분야 리더 기업 중 하나로, 애플리케이션(앱) 보안 테스트에 대한 솔루션을 제공하고 있다.

자키 조렌슈타인(Tzachi Zorenshtain) 체크막스 공급망 보안 총괄에 따르면 오늘날 앱은 90% 이상이 오픈소스 코드로 구성됐다. 시장에서 요구하는 개발 속도를 따라잡기 위해서는 오픈소스를 활용하는 것이 불가피하기 떄문이라는 설명이다.

이와 관련, 그는 현재의 오픈소스 활용 흐름이 위험하다고 지적했다. 오픈소스의 경우 하나의 패키지 안에 다른 패키지들이 포함돼 있고, 또 그 패키지 안에 복수의 패키지가 포함돼 있다. 1개 패키지 안에 수십, 수백개 이상 패키지가 포함돼 있는 경우도 적지 않다. 이는 신뢰할 수 있는 개발자가 배포한 오픈소스에도, 문제가 되는 코드가 포함돼 있을 수 있다는 것을 시사한다.

자키 총괄은 “오픈소스는 정글이다. 추정하기 어려울 만큼 많은 오픈소스가 개발되고 있는데, 개발자가 자신이 사용하는 오픈소스가 안전한지를 검증하는 것은 불가능하다. 대부분의 개발자가 ‘내가 아니더라도 다른 누군가는 잘 분석하고 있겠지’라는 생각으로 인기가 많은 오픈소스를 사용하고 있다”고 말했다.

그러나 그는 이 역시 안전하지 않다고 주장했다. 오픈소스 배포자라 하더라도 그 안의 위험을 모두 파악했는지 확신하기 어려운 데다, 인기 배포자의 계정을 해킹해 정상적인 프로그램을 악성 프로그램으로 바꾸는 사례도 있다고 피력했다.

실제 자키 총괄의 팀은 러시아의 범죄 포럼에서 유명 오픈소스 개발자의 계정을 판매하겠다는 글을 확인했다. 해당 글이 공고된 이후 2주가량 뒤에는 해당 개발자는 ‘누군가 내 계정을 탈취해 악성 버전을 공급했다’고 공표했다. 체크막스 분석에 따르면 최근 이와 같은 범죄가 급증하고 있다.

꾸준히 오픈소스 생태계에 기여하던 개발자가 변심해, 자신의 유명도를 이용해서 악성 오픈소스를 배포한 사례도 있다. 자키 총괄은 인기 히어로 캐릭터 스파이더맨의 좌우명인 ‘큰 힘에는 큰 책임이 따른다’는 격언을 수차례 강조하며, 보다 안전한 오픈소스 활용을 고민해야 한다고 촉구했다.

체크막스는 위협을 끼치는 오픈소스를 탐지하고 차단하는 데 더해 개발자의 평판 분석 및 오픈소스의 행위 분석 등, 오픈소스 공급망 전반에 대한 보안 기술을 제공한다다. 월 100만건 이상의 오픈소스 패키지를 분석하고 있다.

그는 “오픈소스는 우리가 가지고 있는 모든 기술의 기반이지만. 그 기반 자체가 충분히 안전하지 않다. 모르는 사람의 코드를 무심코 믿어버리는 실수를 해서는 안 된다”며 “사이버 세계에서는 국경이 없다. 의지가 확고한 공격자들이 우리 SW 공급망을 오염시키려고 하는 중인 만큼, 이에 대한 대비책을 마련해야 한다”고 주문했다.

자키의 발표 이후 체크막스 북아시아 영업총괄 애드리안 옹(Adrian Ong)은 “오픈소스의 위험은 한국과 같은 국가에 특히 위험하다. 만약 한국 기업이 만든 자율주행차가 갑자기 멈춘다면 심각한 사태로 이어질 수 있다”며 “높은 영향력과 신뢰도를 지닌 한국 제품이 오픈소스의 문제로 장애가 발생할 경우 전 세계적인 재앙이 될 수도 있다”고 우려를 나타냈다.

체크막스는 한국에 특화된 위협 인텔리전스(TI)를 개발하는 등, 국내 사업을 확장한다는 계획이다. 이를 위해 국내 파트너를 물색 중이다. 지역마다 오픈소스 활용 트렌드 등이 다른 만큼, 파트너십을 통해 문제를 해결한다는 계획이다.


네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
  • 동영상
  • 포토뉴스
삼성, '서울 E-프리'서 전장기술·부산엑스포… 삼성, '서울 E-프리'서 전장기술·부산엑스포…
  • 삼성, '서울 E-프리'서 전장기술·부산엑스포…
  • 타임스스퀘어 수놓은 BTS-갤럭시Z플립 콜라…
  • [갤럭시언팩] Z폴드4·플립4, '스냅드래곤…
  • KT, 광화문 리모델링 사옥 통해 '미디어파사…