[ET단상]오픈소스 취약점, SaaS 기반 DB로 대응

소스코드 공개로 소프트웨어(SW) 개발에 필요한 시간과 인력 등 비용을 줄이는 오픈소스 SW 사용이 증가하면서 오픈소스 라이선스 위반 및 보안 취약점으로 인한 피해도 속출하고 있다. 가장 대표적 예로 지난 2017년 미국 3대 신용 회사 가운데 하나인 에퀴팩스(Equifax)는 오픈소스 '아파치 스트럿츠2'(Apache Struts2)의 취약점을 이용한 공격으로 약 1억4000만명의 개인정보가 유출됐고, 이로 인해 시가총액 약 40억달러가 하락하는 큰 피해가 났다. 이외에도 '하트블리드'(Heartbleed), '셸쇼크'(Shell Shock), '고스트'(Ghost) 등 오픈소스 보안 취약점을 악용하는 공격이 지속적으로 진행되고 있어 오픈소스 취약점을 제대로 관리하지 않을 경우 기업은 막대한 경제적 손해를 피할 수 없는 상황이 됐다.

오픈소스 취약점 대응에서 가장 중요한 것은 시간이다. 빈번하게 사용되는 오픈소스일수록 보안 위협에 쉽게 노출되기 때문이다. 취약점을 악용하는 공격 사례 대부분이 12시간 이내에 공격 트래픽이 증가할 정도의 빠른 속도로 진행되기 때문에 광범위한 오픈소스 취약점 정보를 데이터베이스(DB)에 실시간 업데이트하고, 해당 마스터 DB를 실시간 점검해야 한다. 이를 위해서는 오픈소스 정보를 철저하게 관리할 수 있는 체계적인 DB 구축이 필요하다. 그러나 시스템이나 서버에 SW를 직접 설치해야 하는 폐쇄형 온프레미스(On-Premise) 형태로는 한계가 있다. DB 구축에 최소 수억원의 서버 구축 비용이 필요하며, 새로운 보안 취약점이나 버그가 발견됐을 경우 이를 DB에 실시간으로 업데이트할 수 없어 취약점을 악용하는 공격에 대한 즉각 대응이 어렵기 때문이다.

오픈소스 취약점에 대한 즉각 대응과 체계적인 관리를 위해서는 클라우드 환경의 개방적인 서비스형SW(SaaS; Software as a Service) 형태를 기반으로 보안 취약점에 대한 즉각 대응을 수행할 수 있는 오픈소스 관리 도구를 사용해야 한다. SaaS 환경에 특화돼 있는 오픈소스 취약점 점검 도구를 활용할 경우 기업 환경 변화에 유연하게 대처하면서도 오픈소스 취약점을 실시간 관리할 수 있기 때문이다. SaaS 형태로 오픈소스 DB를 구축해 취약점 탐지와 라이선스 문제에 대한 실시간 업데이트 및 점검을 수행하는 오픈소스 취약점 점검 도구로는 쿤텍이 국내에 공급하고 있는 업계 최초의 오픈소스 보안 솔루션 '화이트소스'(WhiteSource)를 대표로 들 수 있다.

파이선, 자바 등을 비롯한 거의 모든 공통 프로그램 언어를 지원하는 화이트소스는 실시간 업데이트되는 업계 최대의 보안 취약점 DB를 기반으로 버그와 수정, 패치 등 정보를 자동으로 고객에게 제공한다. 또한 실제 재조정 기능을 제공해 고객 요구에 맞는 최상의 재조정 옵션을 신속하게 찾아서 보안 취약점과 버그를 해결하는 한편 링크, 패치, 새 버전, 악용을 회피하기 위해 시스템 구성을 변경하는 권장 사항, 특정 기능 차단 등 취약점을 해결할 수 있는 모든 실행 가능한 옵션을 지원한다. 여기에 개발자, QA, 보안담당자, 법률 지원 팀 등 관련 담당자들이 필요로 하는 모든 정보를 실시간으로 한눈에 볼 수 있는 리포트와 웹 통계 화면도 제공한다.

계속해서 늘어나고 있는 오픈소스 취약점 공격에 대응하며 기업이 안전하게 오픈소스를 이용하기 위해서는 오픈소스 SW 거버넌스를 수립하고 이를 기반으로 오픈소스의 체계적인 사용을 지원하는 전문적 통합 관리 도구를 사용하는 것이 가장 중요하다. 각 기업은 하루빨리 SaaS 기반의 오픈소스 취약점 점검 도구를 도입해 기업의 환경 변화에 유연하게 대처하면서도 실시간으로 오픈소스 취약점을 관리해야 할 것이다.

방혁준 쿤텍 대표, joon@coontec.com