체크막스 "오픈소스에 숨어든 해커, 공급망 보안으로 대응"

오픈소스 사용 늘면서 해커 공격 대상으로 '눈독'

체크막스, SW 공급망 지키는 보안 솔루션 발표

체크막스코리아 송대근 지사장[사진=체크막스]

사이버보안 기업 체크막스(Checkmarx)가 오픈소스 기반 소프트웨어(SW) 개발 시 발생할 수 있는 공급망 공격의 위험성을 경고하고, 이를 해결하기 위한 방안을 제시했다.

체크막스는 26일 간담회를 열고 자사의 새로운 보안 솔루션 '체크막스 공급망 보안'을 소개했다. 체크막스는 SW 소스코드를 분석해 보안 취약점을 분석하는 이스라엘의 개발보안 전문기업이다. 보안 강국으로 알려진 이스라엘에서 15년간 해당 분야 사업을 펼쳐왔으며, 가트너 매직쿼드런트에서 5년 연속 우수 기업으로 선정돼왔으며, 한국 시장에는 지난해 10월 처음 진출했다.

이날 간담회에 참석한 애드리안 옹 부사장과 자키 조렌슈타인 공급망 보안 총괄은 오픈소스 환경 내 제품 개발 과정에서 사이버보안 위협이 갈수록 커지고 있다면서, 이를 해결하기 위한 방안으로 체크막스 공급망 보안 솔루션을 제시했다.

가트너는 오는 2025년까지 60%의 기업이 SW 공급망 보안 공격에 대비할 것으로 예상했다. SW 공급망이란 개발부터 배포, 설치, 유지보수에 이르는 모든 과정을 말한다. 공격자는 이 과정에 개입해 변조된 SW가 사용자의 시스템에 전달되도록 한다.

최근 개발 환경은 오픈소스를 중심으로 펼쳐져 있다. 오픈소스란 뜻있는 개발자가 모여 자신이 만든 소스코드를 공유하는 것으로, 서로 개선에 참여하면서 더 나은 SW를 만드는 것을 목표로 한다. 개발자는 이러한 오픈소스를 내려받아 SW 기능을 쉽고 빠르게 구현하고, 개발 시간과 비용을 단축할 수 있다.

하지만, 사이버공격자는 이런 오픈소스 커뮤니티를 통해 악성코드가 담긴 오픈소스를 유포하고, 정보유출 등의 기능이 완성된 소프트웨어에 포함되도록 노린다. 커뮤니티에는 누구나 쉽게 접근할 수 있기 때문에 개발자뿐만 아니라 해커도 이를 이용하는 셈이다.

일례로, 오픈소스 커뮤니티에서 활동하던 유명 개발자는 최근 자신의 계정이 해킹돼 악성 기능이 담긴 오픈소스가 자신의 이름으로 배포됐다며 주의가 필요하다고 알렸다. 지난해 3월에는 파이썬 개발자 커뮤니티에서 정상적인 오픈소스 이름의 철자를 교묘하게 바꾼 가짜 오픈소스가 유포된 사례가 발생해 충격을 주기도 했다.

체크막스 공급망 보안 솔루션은 체크막스의 소스코드 분석 솔루션과 함께 작동해 오픈소스의 안전을 검증한다. 진행되는 오픈소스 프로젝트에서 보안 이상 징후를 파악하는 것은 물론, 개발에 참여한 기여자를 분석하고, 패키지 내에 포함된 여러 오픈소스를 분석해 정보를 확인한다.

이와 더불어 송대근 체크막스코리아 지사장은 '안전한 개발(Security by Design)을 위한 3가지 제안'을 소개했다. 송 지사장은 SW 개발 환경을 언급하며 "클라우드 기반 데브섹옵스(DevSecOps)를 도입하려면 소프트웨어 개발 과정에 어떻게 보안을 내재화할 것인지가 중요하다"고 강조했다. 또한 "안전한 개발을 위해 자동화된 보안 취약점 점검 절차 확립, 오픈소스 취약점 관리, 맞춤형 가이드를 통한 개발자 보안 역량 강화 등이 필요하다"고 덧붙였다.