지난해 발생한 에퀴팩스 개인정보 유출 사고는 여러 관점에서 중요한 시사점을 준다. 보안에 가장 많은 투자를 하는 것으로 알려진 신용평가회사에서, 심각한 보안 취약점으로 알려진 ‘아파치 스트러츠’를 방치해 미국 국민의 절반에 이르는 규모의 고객들에게 피해를 입혔다는 점이 주목된다.

아파치 스트러츠는 오픈소스 프레임워크로, 지난해 3월 취약점 점수 시스템 CVSS에서 최고 위험도 점수인 10점을 받은 매우 심각한 보안 약점이 있는 것으로 알려졌다. 아파치 스트러츠 취약점이 공개된 후 자바 웹 애플리케이션에서 광범위하게 공격이 발생할 수 있다는 사실이 알려져 기업/기관의 대응이 요구됐지만, 에퀴팩스는 장기간 취약점을 해결하지 않고 있다가 6개월이나 지난 뒤 대규모 고객 정보가 유출됐다는 사실을 알게됐다.

방혁준 쿤텍 대표이사는 “아파치 스트러츠 취약점이 공개된 날 전 세계에서 공격 패턴이 발견돼 조치가 시급한 상황이었다. 그러나 애퀴팩스 뿐만 아니라 많은 기업들이 이 취약점을 제대로 해결하지 못했다. 오픈소스는 어느 시스템에 어떻게 사용되고 있는지 파악하기 어렵기 때문”이라고 지적했다.

그는 “아파치 스트러츠 뿐 아니라 블루본, 하트블리드 등 수많은 오픈소스 취약점이 공개되고 있으며, 보안 심각성은 점점 더 높아질 것”이라며 “오픈소스 취약점은 즉시 공격할 수 있는 익스플로잇이 발견되면서 공개되기 때문에 빠르게 조치를 취하지 않으면 안된다. 그러나 방대한 IT 시스템 중 취약점이 있는 오픈소스 모듈이 사용되는 시스템이 무엇인지 파악하기 어렵다는 문제가 있다”고 설명했다.

“SW 90% 오픈소스 사용”

현재 IT 시스템 개발에서 오픈소스가 사용되지 않는 분야는 없다. 기업/기관이 직접 개발하는 시스템은 물론이고 상용 소프트웨어도 오픈소스를 이용한다. 세계 최대 소프트웨어 기업인 마이크로소프트도 클라우드 플랫폼 애저의 50%가 오픈소스를 이용했다고 강조한다. 보안에 가장 민감한 금융기관 앱도 오픈소스를 사용한다. 오픈소스가 사용되지 않는 시스템은 없다.

오픈소스는 집단지성의 힘으로 운영되기 때문에 취약점이 빠르게 발견되고 패치가 배포된다. 잘 관리하면 상용 소프트웨어보다 안전하다. 그러나 ‘잘 관리하는 것’이 매우 어렵다. 상용 소프트웨어와 직접 개발한 소프트웨어의 어디에 어떤 오픈소스가 적용돼 있는지 파악하기 어렵기 때문이다.

오픈소스 라이선스 정책에 따라 기업/기관이 사용한 오픈소스는 커뮤니티에 공개된다. 공격자는 타깃 조직이 사용하는 오픈소스의 취약점을 찾아내면 쉽게 공격할 수 있다. 에퀴팩스가 이를 대표하는 가장 대표적인 예가 될 것이다. 보안에 많은 투자를 하고 체계를 만들어 관리하고 있었음에도 매우 높은 보안 취약점을 방치해 주가 하락과 각종 소송에 이어 수사를 받는 상황까지 몰리게 됐다.

방혁준 대표는 “이 문제는 에퀴팩스에만 해당하는 것이 결코 아니다. 현재 소프트웨어 개발 중 10%만 새롭게 개발하고 90%는 오픈소스를 이용한다. 그러나 거의 대부분의 기업/기관은 오픈소스를 관리하지 않고 있으며, 보안 취약점을 방치하고 있다. 오픈소스 보안 취약점을 어떻게 관리해야 하는지 모르기 때문”이라고 지적했다.

해시값 비교로 빠르고 정확한 취약점 관리

앞으로 오픈소스 취약점 문제는 더 심각한 위협으로 부상하게 될 것이다. 클라우드, IoT 등에서는 오픈소스 적용률이 더욱 높아질 것이다. 블록체인도 오픈소스로 공개돼 있기 때문에 블록체인을 이용한 서비스에서 발생하는 취약점 공격에도 대비해야 한다.

이 때문에 오픈소스 취약점 관리 솔루션이 최근 주목받고 있다. 전사 IT 시스템에서 오픈소스 사용 현황을 검색하고 취약점이 있는 모듈이 있는지 찾아 대응하도록 한다. 오픈소스 라이선스 관리 솔루션 기업 블랙덕소프트웨어가 ‘블랙덕허브’를 출시하며 국내 시장의 문을 열었으며, 바이너리 코드를 분석하는 인사이너리가 그 뒤를 이어 국내 시장을 공략하고 있다.

MS가 투자한 기업 화이트소스는 쿤텍과 파트너십을 맺고 시장 확산에 총력을 다하고 있으며, 라이선스 관련 소송이 필요한 경우 전문 법률 자문 서비스까지 제공하고 있다.

방혁준 대표는 “초기 오픈소스 취약점 관리는 단순한 스캔 기능만으로 가능했지만, 현재는 오픈소스가 광범위하게 사용되고 있기 때문에 스캔만으로는 탐지 정확도를 높일 수 없고 분석에 많은 시간이 걸린다. 특히 최근 오픈소스 취약점 공격은 취약점이 공개된 즉시 익스플로잇 코드가 등장하기 때문에 취약점 공개 후 빠르게 취약점을 찾아 대응할 수 있도록 하는 것이 중요하다”고 강조했다.

그는 “화이트소스는 소스코드가 아니라 해시값을 비교해 취약점에 해당하는 모듈을 찾아내기 때문에 훨씬 빠르고 정확하다. 최근 소프트웨어 개발 시 오픈소스를 이용할 때 수정 없이 모듈을 그대로 사용하기 때문에 해시값을 비교하는 방식의 화이트소스가 스캔 방식보다 경쟁력이 있다”고 자신했다.

국내 시큐어코딩 기업과 협력해 ‘데브시크옵스’ 이상 만족

화이트소스는 개발과 운영, 보안을 모두 만족하는 ‘데브시크옵스’의 이상을 만족시킬 수 있다고 방 대표는 역설한다. 화이트소스는 거의 대부분의 오픈소스 커뮤니티와 협력해 취약점이 공개되면 즉시 DB에 업데이트 해 고객 시스템에 존재하는 취약점을 찾아내기 때문에 취약점 공격 시간을 줄일 수 있다.

오래 전 개발·배포된 후 수 년 전 부터 더 이상 업데이트되지 않은 오래된 오픈소스까지 점검할 수 있어 관리되지 않은 오픈소스 관리 문제를 편리하게 할 수 있다.

스타트업부터 SMB, 엔터프라이즈에 이르는 다양한 고객이 사용할 수 있도록 라이선스 체계를 다양하게 했으며, SaaS로도 제공된다. 솔루션 하나로 오픈소스 라이선스 관리, 버그·보안 취약점 관리까지 제공할 수 있다. 인터넷에 연결되지 않아도 동작할 수 있어 ICS/SCADA 등 폐쇄망 환경에서도 작동할 수 있다.

더불어 일반 소프트웨어의 보안 취약점을 제거하는 시큐어코딩 정적분석, 동적분석 솔루션과 함께 사용하면 더욱 안전한 애플리케이션 개발 환경을 이룰 수 있다. 이에 국내 시큐어코딩 기업들과 협력하면서 애플리케이션 개발 보안 시장을 넓혀간다는 계획도 밝혔다.

방 대표는 “화이트소스는 전 세계 시장에서 반기마다 300%씩 성장하고 있으며, 국내에서도 금융, 군 등 여러 산업군에서 관심을 보이고 있다. 경쟁사보다 빠른 분석 능력과 정확도, 합리적인 라이선스 체계 등의 강점을 적극 알려 고객을 확보해나가겠다”고 말했다.