보안

체크막스 “SW 공급망, 제대로 파악 않으면 심각한 위협 초래”

이종현
[디지털데일리 이종현기자] 애플리케이션(앱) 보안 테스팅 기업 체크막스가 앱에서 컴포넌트간 상호작용 및 소프트웨어 자재명세서(Bill off Material, BoM)에 대한 가시성을 제공하는 맥락 인지 상호작용 엔진 ‘체크막스 퓨전’의 출시를 알리는 기자간담회를 개최했다고 17일 밝혔다.

체크막스에 따르면 개발자와 앱 보안 팀은 포괄적인 테스트를 위해 일반적인 앱에 포함된 수십개 컴포넌트의 상호작용, 기능, 취약점에 대한 통합 뷰를 요구해왔다. 앱 취약점에 대한 총체적인 관점을 필요로 했는데, 체크막스 퓨전이 이를 충족하는 솔루션이라고 강조했다.

체크막스 퓨전의 핵심 기능은 ▲가시성 ▲상관관계(Correlation) ▲우선순위 ▲클라우드 네이티브 등 4개 요소다. 개발자와 앱 보안 팀의 권한을 강화할 수 있도록 돕는다.

체크막스 퓨전은 소프트웨어(SW) 라이프사이클의 모든 단계에 걸친 앱 보안 스캔 결과에 대한 총체적인 뷰를 활용하는 것이 특징이다. 취약점을 서로 연결함으로써 복잡·다양한 데이터 속에서 어떤 것이 중요한 문제인지 민감도에 따라 우선순위를 진단해 먼저 교정할 수 있도록 안내하는 것이 특징이다.

이를 통해 앱 보안 팀은 시프트 레프트를 통해 처음부터 마지막 코드 라인을 쓸 때까지 개발 사이클 전반에 포괄적인 앱 보안 테스팅 및 교정 절차를 반영할 수 있다.

전통적인 앱 보안 관리 및 상관관계(ASOC) 솔루션과 달리 체크막스 퓨전은 멀티 엔진 스캔을 통해 상관관계를 파악하고 여러 엔진에 걸친 스캔 결과를 맥락에 기반해 파악, 리스크의 우선 순위를 정의한다는 설명이다.

로만 투마(Roman Tuma) 체크막스 최고수익책임자(Chief Revenue Officer, CRO)는 SW의 중요도가 높아짐에 따라 SW 공급망에 대한 보안의 필요성 역시 커졌다고 강조했다. 하지만 ‘빨리빨리’를 요구하는 최근 개발 동향상 SW 공급망은 위협에 노출되기 쉬워졌다고 말했다.

그는 “과거에는 6~12개월에 한 번씩 SW 업데이트가 이뤄지곤 했다. 그러나 최근에는 매일같이, 수시로 업데이트가 이뤄진다. 시장에서 요구하는 속도를 충족하기 위해서는 오픈소스의 활용이 불가피하다”며 “그러나 유명 커뮤니티에서 매주 1500만~2000만건의 다운로드가 되는 오픈소스 패키지에도 악성코드가 포함되곤 한다. SW 공급망에 대해 파악하고 관리하지 않으면 큰 위협으로 이어질 수 있다”고 경고했다.

체크막스는 매월 100만건 이상의 오픈소스 패키지를 스캔하고 있다. 축적한 위협 인텔리전스(TI)를 바탕으로 SW 공급망의 문제를 차단한다는 계획이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널