[디지털데일리 이종현기자] “한국은 굉장히 빠르게 성장한 국가다. 삼성전자나 SK하이닉스로 대표되는 반도체를 비롯해 전자, 화학, 제약 등에서 두각을 드러내고 있다. 이것이 가능했던 이유는 소프트웨어(SW)에 있다. 코드(Code)가 이 모든 것들을 가능케 한 근본이다. 그리고 우리는 이 코드의 보안을 책임진다.”(로만 투마 체크막스 CRO)

6월 둘째주 진행된 글로벌 보안 행사 RSA 2022에 참석한 후 첫 행선지로 한국을 찾은 로만 투마(Roman Tuma) 체크막스 최고수익책임자(Chief Revenue Officer, CRO)가 꺼낸 첫 화두다.

체크막스는 애플리케이션(앱) 스캔 관련 기술을 제공하는 이스라엘 보안기업이다. 글로벌 시장조사기관 가트너의 앱 보안 테스팅 부문에서 4년 연속 리더로 선정되며 기술력을 입증했다.

◆민첩성 요구되는 IT 환경, 오픈소스 활용은 불가피

그는 전 세계적인 디지털 전환의 중심에는 SW가 있으며, 그 SW는 대부분 오픈소스(Open Source)로 구성된다고 전했다. 빠르게 변하는 시장 상황에 발맞춰 신규 서비스나 기능을 내기 위해서는 오픈소스의 활용이 불가피하다는 것이 그의 설명이다.

투마 CRO는 “SW를 개발할 때 선택할 수 있는 옵션은 2개다. 처음부터 자체 개발하거나, 오픈소스 라이브러리에 있는 것을 이용하는 것”이라며 “과거에는 6~12개월에 한 번씩 SW 업데이트가 이뤄지곤 했다. 그러나 요즘은 이와 같은 업데이트가 매일같이 이뤄진다. 개발자로서는 오픈소스를 쓸 수밖에 없는 상황”이라고 말했다.

SW 공급망의 보안 문제는 최근 특히 불거졌다. 2021년 연말 발생한 아파치 소프트웨어 재단의 오픈소스 자바(Java) 로깅 프레임워크 ‘로그4제이(Log4j)’에서 발견된 취약점은 ‘컴퓨터 역사상 최악의 취약점’이라고 불릴 정도로 심각한 영향을 미쳤고, 이는 여전히 현재진행형이다.

투마 CRO는 “개발자는 선택권이 없다. 오픈소스를 활용할 수밖에 없는데, 문제는 오픈소스 패키지의 안전성을 알아보기가 어렵다는 점이다. 악성코드란 것도 결국 코드다. 코딩 관점에서 보면 그저 잘 만들어진 코드처럼 보일 수 있다. 악의적인 목적을 쉽게 파악하기 어려운 이유”라며 “때문에 이를 살펴보기 위한 전문적인 지원이 필요하다”고 강조했다.

◆상관관계 분석·우선순위 부여 제공하는 ‘체크막스 퓨전’

SW 공급망 보안의 문제가 심화되는 가운데 체크막스는 RSA 2022서 ‘체크막스 퓨전’을 새롭게 공개했다. 체크막스 퓨전은 정적분석(SAST), 동적분석(DAST), 구성분석(SCA) 등 각종 분석 엔진들이 스캔한 결과에 대한 가시성과 상관관계(Correlation)를 분석하고, 확인된 문제들에 대한 우선순위를 부여하는 것을 골자로 한다.

투마 CRO는 ‘그림 퍼즐’을 예로 들며 “각각의 엔진에서 스캔한 결과는 하나의 퍼즐 조각이다. 하나의 퍼즐 조각으로는 어떤 그림인지 파악하기 어렵지만 여러 조각이 있다면 어떤 그림인지 파악하기 수월하다. 체크막스 퓨전은 여러 엔진에서 나온 결과를 여결함으로써 코드가 갖고 있는 취약점을 효과적으로 해결할 수 있도록 돕는다”고 피력했다.

체크막스 퓨전은 체크막스의 앱 보안을 위한 플랫폼 ‘체크막스 원’ 상에서 구동된다. 체크막스 원이 밑바탕이 되고, 체크막스 퓨전이 하나의 레이어로 자리한다. 이후 신규 솔루션이 추가될 때마다 체크막스 원 상의 레이어가 더해지는 방식이다.

쿠버네티스(Kubernetis) 기반의 엔진이라면 체크막스의 앱 보안 엔진 외에, 타사의 엔진을 탑재할 수도 있다. 일부는 체크막스의 엔진을, 또 다른 일부는 타사의 분석 엔진을 사용한 뒤 체크막스 퓨전으로 상관관계 분석 및 우선순위를 부여할 수도 있다.

클라우드를 기반으로 제공된다는 것도 특징 중 하나다. 아마존웹서비스(AWS) 등 퍼블릭 클라우드나 프라이빗 클라우드 등에서도 활용할 수 있다. 체크막스는 자사 솔루션 사용을 위한 교육까지 함께 제공하고 있다.