김택완 BDSK 대표 "해커들 타깃이 되고 있는 오픈소스 보안취약점...적극 관리 필요해"
"상용SW 96%는 오픈소스 사용...그중 78%에 보안취약점 존재"
Q. 2018년 BDSK 성과에 대해
-A: 지난 한 해 동안 BDSK는 오픈소스 보안관리 서비스의 향상을 위해 다양한 도전과 변화를 시도했고, 그 결과 괄목할 만한 성장을 이룩했습니다. 먼저, ‘블랙덕소프트웨어’ 본사가 시높시스에 합병됨에 따라 사명을 BDSK로 바꾸고 시높시스와의 협업을 시작했습니다. 또한 오픈소스 보안취약점 이슈가 점차 심화되자, 오픈소스 보안에 대한 전문 가이드를 제공하는 보안컨설팅 서비스를 런칭, 금융사 및 공공기관을 대상으로 서비스를 제공했습니다.
다양한 기관과 협업을 시작하기도 했습니다. 한국사내변호사회, 오픈소스컨설팅과 MOU를 체결하며 상호 합의된 분야의 발전을 위한 프로젝트에 착수했고, 연말에는 미국의 사이버 보안기업 리버싱랩스(ReversingLabs)와 협력해 리버싱랩스 코리아(ReversingLabs Korea)를 자회사로 런칭, 소프트웨어 보안 산업에도 출사표를 던졌습니다. 한 해 동안 이처럼 많은 도전을 시도할 수 있었던 것은 오픈소스에 대한 기업의 관심이 꾸준히 증가하며 밑바탕이 되어주었기 때문이라고 생각합니다.
Q. BDSK 주력 솔루션에 대한 소개
-A: 블랙덕 허브(Black Duck Hub)는 코드에 사용된 모든 오픈소스를 탐지 및 목록화해 각 오픈소스에 대한 보안취약점과 라이선스 그리고 컴포넌트의 커뮤니티 리스크를 식별하는 오픈소스 보안 및 라이선스 관리 통합 솔루션입니다. 고유의 방대한 데이터베이스와 차세대 플랫폼 및 인프라를 바탕으로 다양한 기업에 사용되며, 명실상부 국내외 오픈소스 검증 도구의 표준으로 인정받고 있습니다.
오픈소스 관리는 ‘어떤 오픈소스가 사용되었는지를 파악’하는 것에서부터 시작합니다. BDSK의 본사는 전 세계에서 가장 많은 오픈소스 프로젝트 데이터베이스인 Black Duck KnowledgeBase를 보유하고 있는데요. Black Duck KnowledgeBase는 약 240만개 이상의 오픈소스 프로젝트(리눅스를 1개 프로젝트로 간주)와 시높시스 소속 보안리서쳐 팀이 제공하는 보안취약점 솔루션 정보, 그리고 오픈소스 법률전문가가 해석한 2천500개 이상의 고유 라이선스 상세 메타데이터를 제공하고, 실시간으로 DB를 업데이트 하고 있습니다.
Black Duck Hub는 이와 같이 방대한 데이터를 기반으로 개발 소프트웨어에 사용된 오픈소스 컴포넌트를 식별하고, 이에 대한 보안 및 라이선스 리스크를 탐지하기 때문에 사실상 가장 정확하고 정밀한 오픈소스 식별 및 리스크 탐지가 가능한 도구입니다.
또한 오픈소스 및 리스크 현황을 다각도의 관점으로 제공하는 직관적인 대시보드와 실시간 모니터링 및 알람 기능도 제공합니다. 기업은 이를 통해 기존 보안취약점 관리에 대한 진입장벽을 낮추고 향후 발생할 수 있는 보안취약점에 대한 신속한 대응이 가능합니다.
뿐만 아니라, Black Duck Hub는 기업의 소프트웨어 개발 라이프사이클에 부합하는 다양한 플러그인 및 자동화 연동환경을 제공하기 때문에 오픈소스 관리에 필요한 리소스 및 비용절감에도 도움을 줄 수 있습니다.
Q. 2019년 오픈소스 보안시장에 대한 전망
-A: 오픈소스는 현재 4차 산업혁명을 촉발하는 IT 기술을 포함해 다양한 분야에서 널리 사용되고 있습니다. 깃허브의 2018년 개발자 리포트를 보면, 응답자의 92%가 오픈소스는 소프트웨어 이노베이션을 위한 중요한 도구라고 답했고, 그 중 84%는 상용도구보다 오픈소스를 더 선호한다고 말했습니다. 또한 시높시스의 2018년 오픈소스 보안과 리스크 분석 리포트 결과에 따르면 상용 애플리케이션의 96%에서 오픈소스가 발견되었습니다.이와 같은 데이터는 오픈소스 도입 및 활용이 기업의 성장동력을 얻기 위한 필수요건이라는 것을 대변합니다.
소프트웨어 분야에서 오픈소스는 이처럼 대세로 굳어지고 있지만, 그만큼 오픈소스 보안취약점을 악용한 해킹 위협도 증가하고 있는 상황입니다. NVD 조사결과에 따르면, 2017년에 발견된 신규 오픈소스 보안취약점은 4천800개로, 이는 전년대비 32% 증가한 수치입니다. 해커들은 보안취약점을 타깃 삼아 더욱 활발하게 움직이고 있으며, 이러한 추세는 2019년에도 유지 및 심화될 것으로 예상됩니다.
다행스러운 건, 오픈소스 보안 및 관리에 대한 기업의 관심과 니즈가 큰 폭으로 증가하고 있다는 점입니다. 특히 작년 보안 컨퍼런스 참여를 통해 금융 및 공공기관의 관심도가 매우 높아졌다는 것을 알 수 있었으며, 오픈소스 보안 및 관리에 대한 세미나 및 컨설팅 요청이 재작년 대비 50%가량 증가했습니다. 이와 같은 추세에 힘입어, 2019년에는 일반기업뿐 아니라 국내 다수의 금융 및 공공기관에 오픈소스 라이선스 및 보안관리솔루션 도입이 가능할 것으로 전망합니다.
Q. 2019년 BDSK 사업 전략은
-A: 2019년에는 국내 금융기관 및 공공기관 그리고 중소기업들의 오픈소스 보안관리 체제수립을 위해 보다 적극적인 노력을 기울일 예정입니다. 국내 금융 및 공공기관들의 오픈소스에 대한 관심도는 높아졌지만, 오픈소스 보안관리에 대한 전문역량 부족으로 관리수준은 아직 걸음마 단계라고 볼 수 있습니다. 실제로 많은 기업들이 오픈소스 관리 시작에 대한 어려움을 호소하고 있는데요.
BDSK는 오픈소스 관리 솔루션 및 십 수 년간의 경험과 노하우로 다져진 컨설팅 전문역량을 보유한 오픈소스 전문 기업입니다. 이러한 전문성을 바탕으로 올해는 정부기관 사업에 참여해 국내 공공기관 및 정부지원 중소기업들에게 컨설팅을 비롯한 다양한 서비스를 제공할 예정입니다. 오픈소스 관리 프로세스 수립을 위한 로드맵을 제시하고 기업별 최적화된 오픈소스 보안 가이드를 제공하는 등 공공기관 및 관리 사각지대에 있는 국내 중소기업들의 오픈소스에 대한 인식 제고 및 관리체계 확립을 위해 최선의 노력을 기울이겠습니다.
또한 오픈소스 선도 기업의 사명감을 갖고 국내 기업의 오픈소스 사용 활성화에도 앞장서겠습니다. 최근 오픈소스 컨설팅과 안전한 오픈소스 운영환경 조성을 위한 상호 협력 MOU를 체결하며, 보안솔루션과 컨설팅 서비스, 기술 서포트를 통합한 “Advanced Open Source Vulnerability Management(A-OSVM)” 서비스 구축 및 오픈소스 위협 예방 프로젝트를 추진하고 있는데요. 이를 통해 국내 시장이 필요로 하는 오픈소스 통합 솔루션을 제공함과 동시에 기업활동과 오픈소스가 서로 발전하는 선순환 구조의 정착을 위해 노력할 계획입니다.
Q. 공공이나 기업 보안실무자들에게 당부의 말
-A: 오픈소스는 다양한 우수성 및 활용성을 지니고 있지만 관리체계 없는 무분별한 활용은 잠재적 기업 손실을 야기할 수 있습니다. 특히 오픈소스 보안취약점의 경우 매년 급속도로 증가하는 것에 비해 관리수준이 미흡해, 상용 애플리케이션에 고위험도의 오픈소스 보안취약점이 다수 포함되어 있다는 조사 결과도 확인됩니다. 시높시스 조사결과에 따르면 96%의 오픈소스를 사용한 상용 애플리케이션 중 78%는 오픈소스 보안취약점을 보유하며, 그중 17%는 고위험도의 보안취약점을 포함하고 있다고 발표한 바 있습니다.
하지만 오픈소스 활용을 통해 기업의 성장동력을 확대하기 위해서는 오픈소스 사용에 대한 정확한 이해와 발생 가능한 리스크에 대한 대비가 필요합니다. 오픈소스는 여러 사람을 거치며 수정되기도 하고 내용이 방대하기 때문에 수동으로 관리하기 어려우며, 오픈소스 보안취약점은 특성상 정적/동적 분석 도구와 같은 룰셋 기반의 보안 테스팅 도구로 탐지하는 데 한계가 있습니다. 그러므로 안전한 오픈소스 사용을 위한 프로세스 수립과 전문적인 관리 도구의 도입이야말로 오픈소스 활용을 통해 기업 경쟁력을 강화하는 지름길임을 인지해 주시길 바랍니다.
★정보보안 대표 미디어 데일리시큐!★