[디지털데일리 이나연 기자] 오픈소스 보안 관리 위기가 급증하면서 애플리케이션(이하 앱) 보안 역시 중요한 측면으로 조명받고 있다. 관련 보안이 복잡하고 다양한 측면을 가진 문제인 만큼, 커스텀 코드에 대한 테스트와 오픈소스 라이브러리에 대한 취약점을 분석하는 것이 필수가 된 것이다.
22일 <디지털데일리>는 서울 중구 전국은행연합회 은행회관에서 ‘SaaS 고도화 전략 콘퍼런스: 애플리케이션 리빌딩, SaaS로의 여정’ 세미나를 개최했다. 이제응 OSC코리아 대표는 이날 ‘하이브리드 환경의 오픈소스 거버넌스 자동화 전략’을 주제로 발표에 나섰다.
이제응 대표는 “앱 80~90%는 오픈소스 라이브러리 비중이라 나머지 10~20% 커스텀 코드에 대한 테스트와 SCA 바이너리 수준 분석은 필수”라고 밝혔다. 오픈소스는 바이너리 패키지 형태로 퍼블릭 레파지토리(저장소)를 통해 배포되는 식이다.
문제는 퍼블릭 레파지토리가 무결성을 보장하지 않는 데다, 네트워크 방화벽으로는 선별적으로 패키지를 차단하기 어렵다. 이런 이유로 개발자들은 레파지토리 매니저를 사용한다. 내부에만 사용되는 공통 라이브러리를 호스팅하기 위한 저장소 용도로, 보안상 이유로 개발자가 외부 네트워크에 접속하지 못할 때도 필요한 라이브러리를 사용하게 하는 것이다.
실제 소프트웨어 공급망 공격기법은 나날이 다양화하는 추세다. 주요 패키지명 타이핑 오류를 활용하는 기법으로 임의 PC에 대한 접근권한을 얻는 ‘타이포스쿼팅’, 앱에서 사용하는 패키지명을 찾아낸 후 내부보다 외부 최신 의존성을 우선하는 관리방식 빌드 특성을 활용한 ‘의존성 혼동’ 등이 그 예시다.
이 대표는 “SCA 바이너리 수준 분석에 있어 앱을 구성하는 오픈소스 요소를 정확히 식별해야 한다”며 “양질의 최신 데이터베이스를 통해 취약점·라이선스·품질 등 위협요소를 파악해 의존성을 정확히 추적해야 한다”고 강조했다.
OSC코리아가 공급하는 소나타입 넥서스 플랫폼이 글로벌 최대 데이터베이스(DB)를 기반으로 1억2000여개 취약점 스캐닝을 실시간 제공하는 이유도 여기에 있다. 넥서스 플랫폼은 ▲경쟁사 대비 70% 많은 취약성 DB ▲NVD 대비 10배 빠른 속도 ▲65명 이상 글로벌 보안 전문연구원 등을 장점으로 내세운다.
넥서스 플랫폼이 새로운 취약점 정보를 빠르게 수집해 개발자에게 실행 가능한 가이드를 제공한 결과, 2000여개사(1500만명 개발자)를 주요 고객사로 보유하게 됐다. 이 플랫폼은 레파지토리 매니저로서 전 세계 개발자들이 가장 많이 사용하는 수단이기도 하다.
이 대표는 “고객사인 현대나 계정 업체 경우, 전사 차원에서 넥서스 파이어월을 통해 실제 들어오는 다양한 공격이나 취약성 정보를 방어함으로써 개발자들이 관련한 리소스를 최소화할 수 있게 지원하고 있다”고 말했다.
한편, 소나타입 넥서스 플랫폼은 ▲넥서스 레파지토리 ▲넥서스 파이어월 ▲넥서스 라이프사이클 등 세 가지 솔루션으로 구성된다.
먼저 넥서스 레파지토리는 소프트웨어 생명주기(SDLC)에 걸친 라이브러리로 다양한 언어와 패키지를 지원한다. 넥서스 파이어월은 위험요소의 SDLC 유입을 자동으로 차단하는 방화벽 솔루션이다. 넥서스 라이프사이클 경우, SDLC 모든 단계에 걸쳐 위협요소를 지속 확인하고 정책을 반영해 취약점을 교정해 준다.
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
SKT 유심 해킹 여파…국방부, "장병 유심 교체 대책 마련"
2025-04-29 17:25:17[DD퇴근길] "바둑보다 어려워"…이세돌, '데블스플랜'서 보여줄 '묘수'는
2025-04-29 17:21:43[타임라인] SKT 해킹사고, 어떻게 인지했나…발견까지 29시간
2025-04-29 16:43:29유심 해킹 SKT 유영상 대표, 30일 국회 과방위 청문회 출석
2025-04-29 15:54:45SKT “수습 역량 총동원…5월 내 유심 SW 변경 시스템 개발”
2025-04-29 15:01:02“정부부처 보안에도 빨간불”...국정원, 전부처에 유심교체 공문
2025-04-29 14:43:51이해진 네이버 의장, 트럼프 주니어와 30일 만난다… AI 기술 협력 논의하나
2025-04-29 19:05:59카카오엔터, 美 신규 자회사 'KEG' 설립…글로벌 인재 채용 본격화
2025-04-29 18:31:541분기 역대 최대 실적 크래프톤, "배그 당기고, 인조이 밀고" (종합)
2025-04-29 18:31:41카카오게임즈, '오딘: 발할라 라이징' 글로벌 서비스 시작
2025-04-29 17:40:39IPX, ‘서울스프링페스타’ 참여…명동부터 타임스퀘어까지 라인프렌즈 알린다
2025-04-29 17:36:00게임산업 위기론 고조…조영기 게임산업협회장 역량 ‘시험대’
2025-04-29 17:32:41