[디지털데일리 이종현기자] 알려진 오픈소스 취약성은 물론, 알려지지 않은 취약성과 악성코드가 내부 리포지토리로 다운로드되는 것을 원천 차단하는 방화벽 솔루션이 있다. 소나타입의 ‘넥서스 파이어월’이다. 네트워크 방화벽이 원치 않는 트래픽의 유입을 막아주는 것과 같이 넥서스 파이어월은 보안정책에 위배되는 오픈소스 라이브러리가 내부 개발환경에 유입되는 것을 차단해 준다.
작년 이맘때쯤 발견돼 사상 최악의 보안 취약점으로 불리는 Log4j 취약점(일명 Log4Shell)은 2022년을 마무리하는 지금도 많은 이슈를 제기하며 보안담당자에게는 여전히 과제로 남아있다. 데브옵스(DevOps), 데브섹옵스(DevSecOps), 앱섹(AppSec) 등 개념이 확산되고 클라우드 환경의 사용이 확대되면서 자연스럽게 오픈소스의 사용도 늘게 됐다. 리눅스 재단에서 발간한 보고서에 따르면 약 98% 이상의 기업이 오픈소스 소프트웨어(SW)를 사용하고 있고, 95%가 넘는 기업들이 SW 보안에 대한 우려를 하고 있다고 응답했다
◆취약점 파악 어려운 오픈소스=오픈소스 취약점은 공급망 공격에 이용될 수 있다. 과거에는 오픈소스를 활용할 경우, 오픈소스 코드를 다운로드 받아서 사용했고, 오픈소스 코드를 스캐닝하는 방식의 보안솔루션을 활용해 어느정도 악성코드의 유입을 막을 수 있었지만, 현대화된 애플리케이션(앱) 개발에는 오픈소스를 퍼블릭 라이브러리를 통해 모듈 단위로 또는 패키지나 바이너리를 다운로드받아 활용하기 때문에, 오픈소스 보안 취약점은 소스코드를 분석하는 방식으로는 취약점을 찾기 어렵고, 과거의 코드스캐닝 방식의 보안 솔루션은 적합하지 않다.
이런 이유로 신뢰할 수 있는 개발자라도 취약점이 포함된 패키지를 업로드할 수 있다. 최근 더욱 교묘해지는 사이버보안 공격으로 인해 개발자가 감염돼 패키지에 취약점이 삽입되거나 개발자 계정이 탈취돼 악성 패키지가 업로드되는 경우도 있다. 타이포스쿼팅, 체인재킹 등으로 악성 패키지가 정상 패키지로 둔갑해 개발자들의 선택을 받을 수 있다.
또 기업에는 알려진 결함에 취약한지, 업그레이드 시기나 방법을 알 수 있을 만큼 SW 자산에 대한 인벤토리가 없는 경우가 대부분이며, 심지어 자신이 사용하는 오픈소스 SW의 보안을 강화하는 데 기꺼이 투자하려는 기업조차도 이러한 투자를 어디서 해야 하는지, 그리고 그 시급성에 대해 모르는 경우가 많다.
◆SW 개발 과정에 사용된 오픈소스 취약점 관리의 중요성=오픈소스 도입을 통해 SW 개발에 소요되는 비용과 시간을 절감하고, 품질의 안정성을 확보할 수 있는 장점 덕분에 많은 산업 분야에서 그 사용이 급증했다. 그러나 여러 이유로 조직 규모와 상관없이 오픈소스 개발 또는 사용을 위한 보안정책이 부재한 것으로 파악됐다. 이는 조직이 SW를 포함하기 전에 평가하지 못하거나 취약성에 적절한 대응을 하지 못함을 의미한다.
또 쉽게 재사용할 수 있는 오픈소스는 복잡한 종속성에 대한 관리 부재 역시 문제다. 특히나 전이적 종속성으로 인해 발생하는 취약점을 추적하는 것은 오늘날 데브옵스에서 가장 어려운 일중의 하나이다. 50개의 종속성이 있는 프로젝트가 있다고 가정했을 때 평균적으로 프로젝트가 5개의 치명적인 취약점이 있는 경우, 1차 레벨의 종속성에서 약 200개 이상의 심각한 취약점이 발생할 수 있다.
◆오픈소스 보안 취약성 원천 차단=오픈소스 SW가 공격받으면 개발팀이나 조직에서 모든 위협을 다 파악하기는 쉽지 않다. 넥서스 파이어월의 최대 장점은 이미 알려진, 또는 알려지지 않은 오픈소스 위협이 시스템의 리포지토리로 다운로드되는 것을 원천 차단해 주는 기능이다. 의심스러운 컴포넌트의 경우 취약성이 해결되거나 악성유무가 파악되기 전까지 자동으로 격리된다. 악성 컴포넌트의 취약점이 해소되면 자동으로 릴리스 해 개발자의 생산성을 높여준다. 또한 보안팀에서 오픈소스 사용 정책을 적용하고 관리할 수 있는 기능을 제공해 사전에 위험을 파악하고 대응할 수 있도록 기능을 제공한다.
오에스씨는 소나타입과 파트너십 계약을 맺고 소나타입의 넥서스 파이어월을 국내에 공급하고 있다. 넥서스 파이어월을 개발환경과 프로덕션 적용할 수 있도록, 도입 컨설팅, PoC, 솔루션 교육 및 운영 등 다양한 기술지원을 제공한다.
그 밖에도 오에스씨는 고객사의 디지털 트랜스포메이션을 돕는 오픈소스 기반의 데브옵스· 마이크로서비스 아키텍처(MSA) 전문기업이다. 쿠버네티스, 랜처(Rancher), 칼리코(Calico) 등 오픈소스에 대한 전문지식을 갖췄다. 이를 기반으로 데브옵스·MSA 도입 컨설팅, 시스템 구축 및 운영 서비스를 제공하며, 고객이 오픈소스의 가치를 누릴 수 있도록 지원하고 있다.