체크막스, SW 공급망 보안 “오픈소스 관리에 답 있다” 강조 
상태바
체크막스, SW 공급망 보안 “오픈소스 관리에 답 있다” 강조 
  • 곽중희 기자
  • 승인 2022.05.26 17:26
  • 댓글 0
이 기사를 공유합니다

SW 개발 시 검증되지 않은 오픈소스 사용, 항상 주의해야 

 

개발자 중심 애플리케이션 보안 테스팅 기업 '체크막스'가 SW 공급망 보안의 핵심은 개발자들이 사용하는 수많은 오픈소스에 대한 철저한 검증과 관리에 있다고 거듭 강조했다.

체크막스 코리아는 5월 26일 서울 강남에 위치한 인터컨티넨탈 코엑스에서 기자 간담회를 열고 ▲오픈소스 내 사이버보안 위협과 해결 방안 ▲안전한 SW 개발(Security By Design)을 위한 세 가지 제안 등을 소개했다. 

이날 기자 간담회에는 체크막스 코리아의 송대근 지사장, 애드리안 옹(Adrian Ong) 북아시아 영업 총괄 부사장, 자키 조렌슈타인(Tzachi Zorenshtain) 공급망 보안 총괄이 참석했다.

IDC보고서에 따르면, 2023년까지 5억 개 이상의 앱 서비스가 클라우드 기반의 서비스로 개발될 전망이다. Forrester는 추후 기업의 60% 이상이 퍼블릭 클라우드의 컨테이너를 활용하고 개발자의 약 25%가 서버가 없는 개발 환경을 사용할 것으로 예측했다.

또한 Verizon’s 2020 Data Breach Investigation 보고서에 따르면, IaC(코드형 인프라)의 오류가 데이터 유출 사례에서 2번 째로 큰 비중을 차지했다. 이는 앞으로 SW 공급망에 대한 해킹 위협이 점점 더 많아질 것을 시사하고 있다.

 

자키 조렌슈타인 체크막스 공급망 보안 총괄

 

자키 조렌슈타인 체크막스 공급망 보안 총괄은 “SW 공급망이 위험한 이유를 알기 위해서는, SW 공급망이 개발을 하는 과정이라는 점을 먼저 이해해야 한다. 이는 개발자가 코드를 쓰고 출하하는 과정을 말한다. 각 개발 과정마다 해커가 공격할 수 있는 지점은 굉장히 많다. 이는 특정 부분에만 해당하지 않는다. SW 개발 과정 어디에서나 공격이 발생할 수 있다”라고 설명했다.

이어 그는 “개발자가 사용하는 소스의 약 90%가 오픈소스다. 오픈소스는 개발자 입장에서 빠르고 편리하기 때문에 많이 사용된다. 하지만, 내가 선택하는 오픈소스가 정확히 어떤 소스인지 개발자들도 잘 모르는 경우가 많다. 그리고 사용하는 오픈소스의 패키지 안에 어떤 다른 소스가 들어있는지 모를 때도 있다. 하나의 오픈소스 안에는 수많은 개발자가 만든 오픈소스가 들어있다. 그래서 해킹이 발생하기 굉장히 쉬운 환경이다”라고 말했다.

아울러 “오픈소스는 SW 개발을 위해 꼭 필요한 요소지만, 그만큼 개발 과정에서 해킹이 발생할 수 가능성이 높다. 따라서 오픈소스를 사용할 때는 항상 소스의 공급자가 누구인지를 확인해야하며, 아무 소스나 그냥 사용해서는 안된다”라고 덧붙였다.

체크막스 조사에 따르면, 전세계 웹 상에서 다운로드되는 오픈소스의 패키지 개수는 매월 평균 50만 개 이상으로 증가하고 있다. 신속한 개발을 위해 오픈소스를 사용하지 않을 수 없는 개발자의 입장에서는 많이 고민할 수밖에 없는 부분이다.

 

SW 개발 오픈소스 패키지 해킹 사례 소개

‘UA파서’라는 오픈소스 패키지를 10년 이상 공급·관리하고 있는 ‘파이자’라는 개발자가 있었다. UA파서는 메타(구 페이스북)를 포함한 수백만 명이 사용하는 오픈소스 패키지로 매주 3만 건 이상 다운로드되고 있었다. 그런데 2021년 5월 이 오픈소스를 대상으로 한 해킹 사건이 발생했다. 러시아의 한 해커가 파이자의 계정을 해킹했다며 오픈소스를 판매하겠다고 게시한 것이다.

2주 후 파이자는 자신이 공급하는 오픈소스 패키지에 악성 코드가 심겼다고 말했다. 심지어 이 패키지에는 ‘크립토마이너(피해자의 유휴 처리 능력을 가로채 가상화폐를 채굴하도록 설계된 악성코드)’도 포함돼 있었다. 악성코드가 심긴 오픈소스가 수만 명 이상의 SW 개발에 사용된 것이다. 이 외에도 지난 3월에는 매주 2200만 건 이상 다운로드되는 오픈소스 패키지에 악성코드가 심긴 사건도 있었다.

또한 ‘레드리리’라는 오픈소스 패키지를 대상으로 하는 해킹 조직도 큰 위협이 되고 있다. 체크막스의 추적 결과, 레드리리는 1달간 무려 1500개 이상의 오픈소스 패키지를 공격했다. 이들은 자신들에게 맞는 공격 환경을 갖춰 놓은 채 자동화된 방법으로 해킹을 감행했다. 이에 최근 체크막스는 레드리리와 관련된 웹 사이트를 만들어 이들이 만든 악성코드에 관련된 정보를 수집해 모두 공개했다.


체크막스의 SW 공급망 보안 솔루션

‘체크막스의 공급망 보안’ 솔루션은 이같이 SW 개발 환경에서 발생할 수 있는 다양한 공격을 방어한다. 이 솔루션은 먼저 체크막스 SW 구성 분석(Checkmarx Software Composition Analysis, SCA)과 함께 작동해서 오픈소스 프로젝트의 건전성과 보안 이상 징후를 파악하고 '기여자 평판(contributor reputation)'을 분석한다.

이어 '디토네이션 챔버(detonation chamber)' 내 분석을 통해 패키지 행태를 분석하고 직접 정보를 확보한다. 이를 통해 SW 공급망 전 영역에 걸친 분석과 인사이트를 통해 기업 애플리케이션 보안의 중대한 공백을 매운다.

체크막스 측은 기업들이 이번 솔루션을 통해 ▲패키지의 건전성과 SW 자재명세서(SBOM) ▲악성 패키지 탐지 ▲기여자 평판 ▲행위 분석 ▲지속적 결과 처리 등의 필수적 역량을 이용해 오픈소스 SW를 안전하게 활용, 모던 애플리케이션 개발을 가속화할 수 있다고 설명했다.

 

송대근 체크막스 코리아 지사장

 

송대근 체크막스 코리아 지사장은 안전한 소프트웨어 개발(Security by Design)을 위한 3가지 해결책으로 ▲Build/CI 솔루션을 통한 자동화된 보안 취약점 점검 절차 확립 ▲오픈소스 취약점 관리 ▲맞춤형 가이드를 통한 개발자 보안 역량 강화를 꼽았다. 이를 통해 ▲애플리케이션 보안 취약점 제거 ▲오픈소스 애플리케이션 보안 취약점 및 라이선스 규정 위반 예방 ▲전문가 서비스 및 시큐어 코딩 역량 강화 등의 효과가 있을 것이라고 기대했다.

<현장 Q&A>

Q. 한국에서의 파트너를 찾고 있다고 했는데, 구체적인 계획이나 방안이 있는지?

한국에서의 파트너를 찾는 이유는 한국의 앱 개발자들이 사용하는 오픈소스나 언어, 문화적 특성 등을 파악할 수 있기 때문이다. 한국의 앱 시장은 계속해서 커지고 있다. 고로 앱을 만드는 여러 산업군의 기업들을 자체 조사를 통해 살펴보고 있다. 6월 말에 한국에서 큰 행사를 계획 중인데, 그 자리에서 한국의 많은 개발자와 업계 관련자들을 만날 수 있었으면 좋겠다.

 

Q. 오픈소스 보안에도 ‘제로 트러스트(Zero Trust)’를 도입할 예정인지?

꼭 제로 트러스트를 도입하기 보다, 제로 트러스트의 개념을 오픈소스에도 적용할 필요가 있다고 본다. 오픈소스 내 코드들을 지속해서 검증하는 절차가 필요하다는 말이다. 심지어 요즘은 내부에서 개발된 오픈소스도 무조건 믿어서는 안된다고 말하기도 한다. 개발자들이 오픈소스를 사용할 때 보안 위협에 대한 경각심을 더 높여야 한다고 생각한다.

 

Q. API(애플리케이션 프로그래밍 인터페이스)에도 오픈소스와 같은 비슷한 위협이 발생할 수 있다고 보는데 어떻게 보는가?

API도 많이 사용하기 때문에 중요한 건 맞지만, 현재로서는 오픈소스의 공급망 쪽에 대한 공격이 더 많다. 특히 오픈소스를 통한 공격은 SW 외에 다른 부분까지 문제를 파생시킬 수 있다. 그래서 오픈소스 보안에 더 집중하려고 한다.  



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.