​애드리안 옹 체크막스 부사장 "SW 공급망 공격 심각...개발보안 도입 필수"

국내 기업 과반, 오픈소스 기반 SW 도입해, 인프라에 사용

오픈소스 변조해 악성코드 유포 가능...위협 인텔리전스 필요

애드리안 옹 체크막스 부사장[사진=체크막스코리아]

디지털 전환은 업무에서 소프트웨어(SW) 사용을 늘렸으며, 기업은 업무 효율화를 위해 필요한 SW를 더 빠르게 개발해 도입하길 원한다. 개발자는 개발 기간 단축을 위해 '오픈소스'를 활용하는데, 이 과정에 사이버공격자가 개입한다. 이른바 SW 공급망 공격이다.

29일 애드리안 옹(Adrian Ong) 체크막스 아태 영업총괄 부사장은 아주경제와의 인터뷰에서 "오픈소스 사용이 늘어나면서 기업은 새로운 보안 위협을 맞이했다. 선한 의도로 지식을 공유하는 공간이 손쉬운 공격을 위한 경로가 된 것"이라고 말했다.

개발 환경에서 개발 기간을 단축하고, 비용을 줄이기 위해 깃허브 등 개발자 커뮤니티에 공유된 SW 기능을 활용하는 사례가 늘고 있다. 정보통신산업진흥원이 지난 2020년 12월 발표한 오픈소스 SW 시장 동향 보고서에 따르면 국내 기업 58.8%가 오픈소스를 사용하고 있으며, 이 중 65.6%가 주요 시스템 인프라에 이를 적용 중이다.

그는 "오픈소스 커뮤니티는 선한 의도를 가진 개발자가 자신의 지식과 기술을 공유하고, 다른 개발자와 소통하는 공간이다. 이러한 공간은 신뢰를 기반으로 움직인다. 앱 스토어에서 스마트폰 앱을 내려받을 때 의심하지 않고 설치하는 것과 같다"고 말했다.

그러면서 "하지만 이러한 신뢰가 우리가 당면한 위협이다. SW 개발 주기가 빠르게 돌아가는 상황에서 개발자는 오픈소스에 어떤 코드가 들어있는지, 누가 해당 코드를 작성했는지 일일이 확인하기 어렵다. 특히 대형 오픈소스 패키지에는 수백여 명의 기여자가 있는 경우도 있는데, 이 중 악성 행위자가 있을지는 알 수 없는 일"이라고 덧붙였다.

실제로 체크막스 연구소에서 최근 특정 오픈소스를 분석한 결과, 러시아·벨라루스 등에서 이 오픈소스가 실행되면 PC의 모든 데이터를 지워버리는 기능이 몰래 추가됐다. 확인 결과 기여자는 우크라이나 출신 개발자였다. 일종의 시위용 SW로 볼 수 있지만, 만약 이러한 일이 악의를 가진 개발자를 통해 이뤄졌으면, 전세계 SW 공급망을 위협하는 공격으로 이어질 수도 있다.

체크막스는 15년간 활약해온 사이버보안 기업으로, 소스코드를 분석해 보안 취약성이나 악성 기능을 탐지하는 시큐어 코딩(개발보안)이 전문 분야다. 

그는 "우리는 최신 위협 인텔리전스를 공유하고 있지만, 더 많은 해커가 공격이 쉽고 빠르기 때문에 오픈소스에 눈독을 들이고 있다. 따라서 한국에서도 많은 기업과 협력해 한국 산업에 맞는 인텔리전스를 제공할 계획"이라고 말했다.