사이버 위협의 75%는 소프트웨어 보안 취약점을 악용하며, 애플리케이션의 80%는 오픈소스 소프트웨어가 사용된다. 이는 오픈소스를 포함한 소프트웨어에 존재하는 보안 취약점을 해결해야 한다는 뜻이며, 현재 상용화 돼 있는 소프트웨어 보안 취약점 점검 도구에 오픈소스 취약점 진단 도구도 필요하다는 뜻이다.
박성진 한컴MDS DAS사업부 팀장은 “거의 대부분의 소프트웨어는 자체적으로 개발한 것과 오픈소스를 활용한 것, 써드파티 개발사에서 개발한 것을 통합하고 있다. 개발·테스트 중인 소프트웨어의 보안 취약점을 진단하는 도구나 오픈소스 취약점을 찾아내는 도구 하나만으로는 소프트웨어 보안 문제를 해결할 수 없다”며 “소프트웨어 개발 라이프사이클(SDLC)에 맞는 종합적인 보안 취약점 진단 도구가 필수”라고 말했다.
한컴MDS는 이스라엘의 애플리케이션 보안테스팅(AST) 전문기업 체크막스와 총판계약을 체결하고 국내 시큐어코딩 시장 공략에 나섰다. 체크막스는 개발 중 소스코드의 취약점을 점검하는 정적분석도구 ‘CxSAST’와 오픈소스 취약점을 탐색하는 ‘CxOSA’, 테스트 과정에서 사용하는 동적분석도구 ‘CxIAST’, 그리고 교육프로그램 ‘코드베이싱(Codebashing)’을 제공한다.
CxOSA에는 화이트소스의 엔진이 탑재돼 있다. 화이트소스는 SaaS 기반 오픈소스 보안 취약점·품질·라이선스 등의 문제를 해결할 수 있도록 도와주는 솔루션이다. 국내에서는 쿤텍이 영업을 전개하고 있으며, 한컴MDS는 오픈소스 관련 이슈는 쿤텍과 협력하고 있다.
박성진 팀장은 “현재 시장에서 가장 영향력이 있는 정적분석·동적분석 도구는 오픈소스 취약점을 탐지하지 못하며, 데브시크옵스(DevSecOps)가 요구하는 유연성과 보안성을 충분히 만족시키지 못한다”며 “체크막스는 인하우스에서 개발중인 소프트웨어는 물론이고, 오픈소스 취약점까지 찾아내 데브시크옵스의 이상에 한발 더 다가갈 수 있는 제품”이라고 말했다.
“빠르고 정확한 SW 진단도구”
체크막스가 가진 최대 장점은 ‘빠르고 정확하다’는 것이다. 정적분석도구(SAST)는 개발 중 소스코드의 보안 약점을 찾아내기 때문에 오탐이 많으면 개발자의 생산성에 심각한 영향을 미치게 된다. 최근 SAST는 보안약점을 찾은 후 바람직한 수정 내용을 제안하는 등 개발 업무에 영향을 주지 않도록 지원하지만, 개발자들의 불편이 완전히 해소된 것은 아니다.
체크막스는 머신러닝으로 학습해 오검출을 줄이고 개발자의 불편을 최소화한다. 소스코드의 연관분석을 통해 개발 시점에 찾아내지 못한 보안약점도 찾아내며 21개 개발언어를 지원해 광범위한 개발환겨을 지원한다. 한글지원도 완료돼 있다.
오픈소스 검색 엔진은 SaaS 기반으로 운영돼 신종 취약점 정보를 빠르게 업데이트 할 수 있다. 오픈소스는 수많은 커뮤니티에서 실시간으로 수많은 취약점 정보가 발표되기 때문에 구축형 솔루션으로는 신종 취약점 정보를 신속하게 업데이트하는데 한계가 있다. 화이트소스는 암호화된 해시값을 클라우드에서 분석하기 때문에 개발 소스 정보가 유출될 염려가 없으며, 새로운 취약점을 자동으로 업데이트해서 적용할 수 있다.
박 팀장은 “전통적인 개발 환경에서 개발자는 인터넷이 연결되지 않은 환경에서 작업하는 것이 원칙이었지만, 실제로는 업무 편의성을 위해 인터넷 연결을 허용하는 경우가 많다. 개발자 보안 위협 문제로 SaaS 도입이 어렵다는 것은 현재 개발 환경에 맞지 않다”며 “CxOSA에 적용된 화이트소스 엔진은 암호화된 해시값만 클라우드로 전송해 보안성을 높이면서 오픈소스 취약점을 정확하게 검출할 수 있다”고 말했다.
“SDLC 지원 SW 보안 제품군 제공”
한컴MDS는 체크막스 솔루션과 함께 포지티브테크놀로지의 ‘맥스패트롤’, 그리고 퍼징 테스트 솔루션 ‘비스톰(beSTORM)’을 연계해 웹·애플리케이션 보안 전략을 완성하고 있다. 맥스패트롤은 IT 전반의 취약점 스캔과 모의해킹, 웹 보안 등 다양한 기술을 제공한다. 비스톰은 다양한 방식의 공격을 단행해 IT 시스템이 해킹을 방어할 수 있는지 테스트하는 제품이다.
박 팀장은 “보안은 단일 지점만 잘 막아서는 안된다. 소프트웨어 소스코드에 있는 보안 약점을 제거하는 것 뿐 아니라, 네트워크, IT 인프라 전반의 취약점을 찾고 테스트하는 과정을 통해 IT 전반의 보안 체질을 강화해야 한다”고 말했다.
그는 이어 “한컴MDS는 엔터프라이즈 IT 뿐 아니라 IoT·커넥티드카, 국방 등 다양한 분야의 임베디드 보안까지 아우르는 포트폴리오를 제안하면서 시장을 확대해나가고 있다”며 “SDLC에 포함된 소프트웨어 보안 제품군은 이러한 전략 중 하나”라고 덧붙였다.
