“IoT·보안업계 깃허브 될 것”…시큐어 플래닛이 오픈소스 보안 취약점 DB 만든 이유
[디지털데일리 백지영기자] “MS나 구글 같은 큰 기업들은 자체적인 버그카운티 프로그램을 운영하며 자사 서비스의 보안 수준을 높이고 있지만, 물주(?)가 없는 오픈소스의 경우, 보안 취약점 보고가 잘 안됩니다. 문제는 우리가 사용하는 SW의 70%가 오픈소스로 돼 있다는 것이죠. 최근 이에 대한 문제점도 생기고 있지만 뚜렷한 대안은 없는 상황입니다.”
지난 5일 기자들과 만난 강택진 인사이너리 대표<사진 오른쪽에서 세번째>는 ‘시큐어 플래닛(Secure Planet)’ 프로젝트의 시작에 대해 이같이 말했다. 시큐어 플래닛은 블록체인 기반의 오픈소스 보아취약점 데이터베이스(DB) 생태계 구축을 위한 비영리법인이다. 오픈소스 보안솔루션 스타트업인 인사이너리를 비롯해 다양한 오픈소스 전문가들이 뭉쳤다.
실제 그의 말처럼, 최근 오픈소스 보안취약점에 따른 리스크는 매년 커지고 있다. 지난해 미국 신용평가사 에퀴팩스는 오픈소스 취약점인 ‘아파치 스트러츠’를 활용한 해킹으로 1억5000만명에 달하는 고객의 개인정보 유출 피해를 입은 바 있다. 또 이로 인해 에퀴팩스 경영진이 전원 사퇴했다.
시높시스와 가트너 등의 조사에 따르면 상용 애플리케이션 코드의 60~90%는 오픈소스 SW로 이뤄져 있으며, 사물인터넷(IoT) 기기 역시 평균 77%의 오픈소스 SW가 내장돼 있다. 반면 IoT 기기 평균에는 평균 677개의 오픈소스 SW 취약점이 있다. 더군다나 이미 알려진 보안취약점에 의한 공격이 99.9%나 된다. 즉 이미 취약점이 알려졌음에도 이에 대한 조치를 취하지 못해 해킹을 당하는 경우가 대부분이라는 설명이다.
강 대표는 “이처럼 오픈소스 보안의 심각성은 커지고 있지만, 오픈소스 취약점을 찾아내려는 노력이나 조치가 제대로 이뤄지고 있지 않다”며 “그 이유 중 하나는 대부분의 오픈소스 취약점 발견은 선의에 의해 이뤄져 금전적인 보상이 없기 때문”이라고 말했다.
물론 현재도 국가나 기업 차원에서 취약점 DB를 구축하는 경우는 있다. 미국 표준기술연구소(NIST) 국가 취약점 DB(NVD)나 상업용으로 취약점 DB를 판매하는 일부 회사들이 있다. 하지만 정보 수집 및 공개의 불투명성이나 보상체계 측면에서 충분치 않다.
예를 들어 지난해 워너크라이 사건의 경우 미국 국가안보국(NSA)가 보관하고 있던 마이크로소프트(MS) 제품 취약점이 해커에 의해 유출되면서 문제가 불거졌다. 당시 MS는 “NSA가 해당 취약점을 알고도 MS에 알려주지 않고 NVD에도 등록하지 않았다”며 강력히 비판했다.
또 상용 취약점 DB 역시 이를 사용하기 위해선 비싼 비용을 지불해야 하기 때문에 대기업이 아니고선 쉽게 쓸 수가 없는 상황이다.
강 대표는 “이를 개선할 방법이 없을까 생각하다가 시큐어플래닛 프로젝트를 시작하게 됐다”며 “개별 기업은 물론이고 국가도 믿을 수 없는 상황에서 여럿이 서로 감시하면서 발전하고, 보상체계를 갖춘 블록체인 기반의 오픈소스 보안 취약점 DB를 구축하고 있다”고 설명했다.
시큐어 플래닛은 인사이너리의 핑거프린트 기반 바이너리 코드 스캔 기술과 수년 간 축적된 오픈소스 관련 데이터를 기반으로 만들어진다. 기존의 중앙 집중적인 오픈소스 보안취약점 DB 모델에서 발생한 데이터 병목현상, 노후된 사용자 인터페이스 및 높은 사용료, 미흡한 보상체계 등의 문제점을 블록체인과 결합해 해결한다.
누구나 직접 발견한 보안취약점을 보고하는 오픈소스 보안 커뮤니티를 만들고, 참여자들의 투표로 리포트를 검증해 이에 대한 토큰 보상을 제공할 예정이다. 검증된 데이터는 기업 및 제조사를 상대로 토큰으로 거래된다. 인도나 아프리카 등 제3세계 개발자의 참여가 높기 때문에 토큰 등 암호화폐를 통한 보상이 이들에게 직접적인 도움이 될 것으로 판단하고 있다.
시큐어 플래닛은 두 가지 종류의 토큰을 운영할 예정이다. ‘SPX’와 ‘Rep 토큰’이다. SPX는 일반적으로 사고 팔 수 있는 현금성 토큰으로 취약점의 중요도에 따라 보고자에게 차등 지급된다. 취약점 정보가 필요한 기업은 토큰을 지급하고 구매가 가능하다.
Rep(레퓨테이션) 토큰은 취약점을 검증하는 사람에게 지급되는 토큰이다. 돈을 주고는 살 수 없다. 자체적인 온라인 해킹 테스트를 통과한 전문가 가운데 취약점이 제대로 작동하는지, 이것이 얼마나 심각한지 투표하는 역할이다.
강 대표는 “블랙 해커와 화이트 해커는 종이 한 장 차이”라며 “오픈소스 개발자가 다 같이 참여할 수 있고 경쟁적으로 보고하는 생태계를 만든다면 더 안전한 디지털 세상을 만들 수 있을 것”이라고 말했다. 그는 시큐어 플래닛의 역할을 ‘지구 방위대’라고 표현하기도 했다. 시큐어 플래닛의 생태계가 자리를 잡는다면 오픈소스 보안 분야의 ‘깃허브’가 될 것으로 자신했다.
한편 시큐어 플래닛은 싱가포르에 법인을 설립했으며, 내년 상반기 이더리움 등 메인넷에 디앱(Dapp) 형태로 서비스를 오픈할 예정이다. 현재로썬 자체적인 메인넷을 구축할 계획은 없다. 프라이빗 세일을 통해 투자를 받고 있으며, ICO(암호화폐공개)를 통한 목표치는 2000만달러다,
시큐어플래닛의 CEO는 씽크프리 대표, 삼성전자·KT 등 대기업 임원을 지난 강택진 현 인사이너리 대표가 맡았으며, 최고운영책임자(COO)는 김택완 BDSK 대표, 최고기술책임자(CTO)는 전 안랩 CTO였던 조시행 인사이너리 CTO가 맡았다. 이밖에 허진호 전 네오위즈 대표, 에드 호 페이팔 공동창립자, 클라우스 피터 비더만 베어핑포인트 오픈소스 전문 컨설턴트 겸 리눅스재단 멤버 등 국내외 IT 전문가가 참여하고 있다.
<백지영 기자>jyp@ddaily.co.kr
[양종희 KB금융 회장 1년- 상] 실적 무난했지만 내부통제 문제 심각… 빛바랜 성적표
2024-11-15 15:55:09한싹, 올해 3분기 12억원대 손실…AI 투자·인콤 인수 영향
2024-11-15 15:44:00“금융권 책무구조도, 내부통제 위반 제재수단으로 인식 안돼”
2024-11-15 15:19:319월 국내은행 가계·기업대출 연체율 하락…"분기말 연체채권 정리규모 확대 때문"
2024-11-15 15:11:10