현재 우리가 사용하는 애플리케이션(앱)의 90% 이상은 오픈소스 소프트웨어로 이뤄져 있다. 매일 2만1000개 이상의 신규 오픈소스 버전이 매일 공급망에 배포되면서 기업의 보안위협도 기하급수적으로 높아지고 있다. 이러한 가운데 96% 이상의 오픈소스 취약점 유입단계에서부터 예방할 수 있는 방안이 제시돼 주목된다.
19일 이제응 OSC코리아 대표는 양재동 엘타워에서 열린 ‘사라진 경계, ‘한국형 제로 트러스트’ 중심의 보안 혁신전략’을 주제로 한 차세대 기업보안 세미나 [NES 2023]에서 ‘오픈소스 소프트웨어 개발 공급망 보안 및 거버넌스 필수전략’이라는 주제 발표를 통해 현재 자사가 공급 중인 ‘소나타입’의 넥서스 플랫폼을 소개했다.
소나타입은 미국 소프트웨어 공급망 관리 분야 선두기업이다. 이 대표는 “현재 애플리케이션의 80~90%는 오픈소스 라이브러리가 차지하고 있어, 나머지 10~20% 커스텀 코드에 대한 테스트와 함께 SCA 바이너리 수준의 분석은 필수”라고 설명했다.
현대화된 앱 개발에는 오픈소스를 퍼블릭 라이브러리를 통해 모듈 단위 또는 패키지나 바이너리를 다운로드받아 활용해 기존의 소스코드 분석 방식으로는 보안 취약점은 취약점을 찾기 어렵다. 또, 퍼블릭 레파지토리(저장소)는 무결성을 보장하지 않고, 네트워크 방화벽으로는 선별적으로 패키지 차단이 어려운 것이 사실이다.
특히 주요 패키지명의 타이핑 오류를 활용하는 기법으로 임의의 PC에 대한 접근권한을 얻는 ‘타이포스쿼팅’이나 앱에서 사용하는 패키지명을 찾아낸 후 내부보다 외부 최신 의존성을 우선하는 관리방식의 특성을 활용한 ‘의존성 혼동’ 등 공급망 공격기법도 다양화되고 있다.
이 대표는 “애플이나 넷플릭스, 테슬라 등이 이로 인한 피해를 입었다”며 “작은 규모의 라이브리러리로 시작한 기업 입장에선 근본적인 오픈소스 취약점을 찾기 어렵다”고 지적했다.
소나타입의 넥서스 플랫폼은 지난 2017년부터 글로벌 최대 데이터베이스(DB)를 기반으로 실시간으로 1억2000여개의 취약점 스캐닝을 제공하고 있다. 경쟁사 대비 70% 많은 취약점 DB와 NVD 대비 10배 빠른 속도, 65명의 글로벌 보안 전문연구원이라는 강점을 바탕으로 새로운 취약점 정보를 빠르게 수집해 개발자에게 실행 가능한 가이드를 제공한다.
특히 매니페스트 스캐닝과 바이너리 스캐니을 모두 사용해 정확한 분석결과를 도출한다. 이미 국내 P사와 H사 등 대기업이 기술검증(POC)을 통해 이를 사용 중이다.
현재 소나타입의 넥서스 플랫폼은 크게 ▲넥서스 레파지토리 ▲넥서스 파이어월 ▲넥서스 라이프사이클 세가지 솔루션으로 나눠진다.
먼저 넥서스 레파지토리는 SDLC(소프트웨어 생명주기)에 걸친 라이브러리로 다양한 언어와 패키지를 지원한다. 현재 오픈소스로는 취약점이나 라이선스에 대한 요약정보를 무료로 제공받을 수 있다. 레파지토리 프로는 세부정보를 추가로 제공해 정교한 해결방안을 제시하는 가이드라인 역할을 한다. 알려진 위협요소는 물론 알려지지 않은 리스크에 대해 AI/ML 알고리즘을 토해 에코시스템을 모니터링해 선제적인 대응이 가능하다.
또, 넥서스 파이어월은 위험요소의 SDLC 유입을 자동으로 차단하는 방화벽 솔루션이다. 신규 컴포넌트가 유입될 겨우, 설정된 정책 기반으로 평가해 보안정책에 위배되는 오픈소스 라이브러리가 내부 개발환경에 유입되는 것을 차단해 준다. 만약 유해성을 확인하면 격리조치를 하고, 의심시엔 우선 격리한 후 소나타입 보안팀 검토를 통해 무해성을 확인한다.
마지막으로 넥서스 라이프사이클은 SDLC의 모든 단계에 걸쳐 지속적으로 위협요소를 확인하고 정책을 반영해 취약점을 교정해준다.
이 대표는 “이는 지속적 통합·배포(CI/CD) 파이프라인에 정합돼 개발자와 보안담당자가 오픈소스를 보다 안전하게 혁신을 추구할 수 있게 돕는다”며 “개발통합환경(IDE) 환경지원과 SBOM(소프트웨어 자재 명세서)의 디테일한 표현을 바탕으로 타 벤더에 비해 취약성을 좀 더 잘 분석해 준다”고 설명했다.
그러면서 “새로운 컴포넌트가 유입된 후에도 앱 적용 이후 발견할 수 있는 취약점을 감안해 최적의 라이브러리 버전이나 보안에 강한 다른 오픈소스 버전 등을 제안해 준다”고 덧붙였다.
