[디지털데일리 이종현기자] 사이버보안 기업 쿤텍은 KB국민은행의 소프트웨어(SW) 공급망 보안 안정성 강화를 위해 멀티 플랫폼 바이너리 분석 도구 ‘사이벨리움(Cybellum)’을 공급했다고 30일 밝혔다.
사이벨리움은 작년 9월 LG전자가 1억1000만달러에 인수한 이스라엘 보안 스타트업이다. 사명과 같은 이름의 솔루션을 제공 중이다. 실행 파일 자체를 분석하는 바이너리 분석 및 취약점 진단을 제공한다.
쿤텍에 따르면 금융권에서는 클라우드, 빅데이터, 인공지능(AI) 등 신기술 도입이 확산되면서 정보기술(IT)의 비중이 크게 증가하는 중이다. 상용 소프트웨어(SW)뿐만 아니라 오픈소스 SW의 사용도 증가함에 따라 사이벨리움과 같은 SW 공급망 전체를 관리할 수 있는 보안 도구가 필요하다는 설명이다.
쿤텍이 국내 총판을 맡고 있는 사이벨리움은 바이너리 분석을 토대로 SW 구성요소 명세서(SBoM, Software Bill of Materials)를 생성해 체계적인 SW 공급망 보안 관리를 지원하는 것이 특징이다. 별도의 에이전트 없이 웹 사용자환경(UI)를 통해 바이너리 분석 및 빠르고 정확한 SBOM을 생성할 수 있다.
또 각 구성 요소와 관련된 알려진 취약점, 정보 유출, 운영체제(OS) 구성 오류 등 다양한 사이버보안 위험을 실시간으로 모니터링한다. 정적 분석 기법만으로 탐지할 수 없었던 바이너리 보안 약점까지 관리할 수 있다. SBOM을 토대로 오픈소스 라이선스를 점검해 현재 사용되고 있는 라이선스에 대한 준수 가이드라인을 제공해 안전한 오픈소스 사용을 지원한다.
KB국민은행 정보보안부 김기웅 차장은 “공급망 공격에 대응하기 위해서는 SW 공급망의 구성 요소 식별을 기반으로 취약점을 관리할 수 있는 방안을 마련하는 것이 중요하지만 소스코드 분석만으로는 완전한 가시성 확보와 취약점 점검이 어렵다는 한계가 있었다”고 말했다.
이어서 “사이벨리움은 바이너리 분석을 통한 SBOM 생성 및 관리가 가능해 복잡하고 방대한 공급망에 대한 가시성 확보에 뛰어나다. 또 여러 유형의 보안 취약점에 대한 지속적인 자동 탐지 및 분석 기능을 제공하고, 탐지된 취약점 항목에 대한 상세 정보 및 조치 이력 관리 기능 등을 제공한다는 점에서 공급망 공격 대응을 위한 선제적인 점검 체계 마련에 최적화된 도구”라고 사이벨리움의 도입 이유를 전했다.