[CCTV뉴스=최진영 기자] 원산지를 확인하고 안심해본 기억이 있다면, ’클래리티’를 소개하기 전 묻고싶다. “당신의 소스코드는 안전합니까?” 클래리티와 같은 오픈소스 검증 솔루션이 필요한 이유는 많은 이들이 질문에 답할 수 없어서다.
올해 블랙덕소프트웨어 조사에 따르면 오픈소스를 활용만 하고 관심을 꺼버린 기업은 67%에 달한다. 보안취약점과 라이센스 관리를 선행하지 않고 오픈소스를 활용한 기업은 원산지도 모르는 음식을 식탁에 올리는 셈이다.
☐ 제조단계 보안은 대세…오픈소스 미포함 솔루션 고작 4%
블랙덕소프트웨어 ‘2017 오픈소스 보안과 리스크 분석’ 리포트에 따르면 응용프로그램의 96%는 오픈소스를 포함한다. 평균적으로 활용되는 오픈소스는 147개 수준이다.
조시행 인사이너리 전무는 오픈소스 라이센스와 보안취약점을 검증할 솔루션의 제품화가 이뤄져야 한다고 생각했다. 이에 ‘클래리티’는 올 4월 1.0버전이 출시됐다.
조 전무는 “지난해에 인사이너리에 합류하며 제품화를 추진했다. 오픈소스를 활용하는 기업들은 모두 우리 고객이 된다”라며 “오픈소스에 대한 규약은 의무사항이 많아 복잡하다. 그렇다고 오픈소스를 배제할 수도 없으니 클래리티와 같은 컴플라이언스 프로그램이 절실하다”라고 설명했다.
사실 기업들이 필요할 때 나왔으니 클래리티의 출시 시기는 적절하다고 볼 수 있다. 정작 문제는 기업들의 문제인식이다.
현재 오픈소스를 사용한 응용프로그램의 85%는 라이센스 충돌이 발생했고, 53%는 알려지지도 않은 라이센스인 상황이다. 라이선스를 둔 소송은 기업의 존폐를 결정짓기에 충분하다. 하지만 많은 기업들 스스로 불확실성을 좌시하는 셈이다.
조 전무는 시큐리티도 중요하다고 강조했다. 오픈소스를 활용한 응용프로그램은 규약에 따라 코드가 공개되는 경우가 많다. 유명 맛집의 비법과는 거리가 멀다. 때문에 오픈소스를 활용했을 때 발생하는 보안취약점은 지속적으로 발견된다.
조 전무는 “과거와 비교해 소스레벨에서의 취약점 분석이 중요해졌다. 공격자들은 윈도우 기반의 공격만을 하지 않는다”며 “오픈소스를 활용하지 않으면 ‘타임 투 마켓’을 할 수 없어 기업 입장에서는 치명적이다”라고 말했다.
☐ 매 순간 취약점은 발견 돼, 백신처럼 고도화될 것
클래리티를 통한 검증은 소스레벨에서 정보를 끄집어 내고 이를 데이터베이스한 데이터와 바이너리 파일을 역공학(reverse engineering)으로 변환하지 않고 바이너리 자체에서 추출한 identifier와 비교하는 방식이다. 클래리티는 파일형식을 가리지 않는다. 또한 온프레미스든 클라우드든 방식도 제한이 없다. 작동하는 방식이 백신과 꽤나 유사하다.
인사이너리가 집중하는 부분은 정보를 가져오는 과정에서 시간소모를 해소하는 것이다. 조 전무는 “크롤링(바이너리 파일의 소스를 추출) 과정에서 기계적 성능을 비롯한 환경도 적지 않은 영향을 주지만 더욱 중요한 것은 알고리즘이다”라며 “백신은 30년 동안 축적된 데이터를 통해 고도화됐다. 현재는 과거와 비교할 수 없을 만큼 하루에도 엄청난 양의 데이터가 쌓인다. 클래리티는 이제 시작했지만 백신보다 더 빠르게 고도화 될 것이다”라고 분석했다.
아울러 사후적 조치가 가지는 한계에 대한 질문에 명쾌한 대답도 내놨다. 조 전무는 “알려지지 않은 취약점보다 알려진 취약점으로 더 많은 공격이 이뤄진다”며 “하나만으로 이뤄지는 보안은 없다. 오픈소스를 분석하는 것이 개발효율과 보안측면에서 큰 도움이 될 것이라고 생각한다”라고 답했다.
