[디지털데일리 서정윤 기자] OSC코리아가 소나타입의 '리포지토리 파이어월'(Repository Firewall)을 활용해 보안을 강화하는 방법을 소개했다. 소나타입은 알려진 오픈소스 취약성은 물론, 알려지지 않은 취약성과 악성코드가 내부 리포지토리로 다운로드되는 것을 원천 차단하는 방화벽 솔루션 등을 제공하는 글로벌 벤더다.

인재홍 OSC코리아 이사는 15일 오후 웨비나로 진행된 '보안 전쟁 시대에서 살아남기: 요즘 개발자가 알아야 할 오픈소스 보안 올인원' 세미나에서 "오픈소스 소프트웨어 프로젝트를 중심으로 한 사이버 공격이 활발하게 일어나고 있다"며 소나타입의 리포지토리 파이어월 활용법을 소개했다.

개발 방식이 변화하며 오픈소스 퍼블릭 라이브러리를 통해 모듈 단위의 패키지나 바이너리를 활용하는 경우가 늘고 있다. 개발자가 직접 작업하는 커스텀코드 영역에서의 보안도 중요하지만, 오픈소스를 활용한 사이버공격을 막는 것도 중요해진 셈이다.

또, 과거에는 특정 시스템을 타깃으로 한 공격이 많았다면 요새는 불특정 시스템을 대상으로 한 공격이 늘고 있는 추세다. 개발자 계정을 탈취해 악성 패키지를 업로드하거나 타이포스쿼팅(Typosquatting), 체인재킹(Chainjacking) 등 악성 패키지가 정상 패키지로 위장돼 개발자도 모르는 사이에 사용되는 경우가 늘어나고 있다. 인 이사는 "해커들은 악성코드를 위장하는 데 점점 더 능숙해지고 있다"는 말로 현 상황을 설명했다.

이런 상황에서 OSC코리아가 소개하고 있는 소나타입은 오픈소스 보안에 최적화된 솔루션을 보유하고 있다. 인 이사는 "소나타입 플랫폼은 소프트웨어 명세서(SBOM) 정보를 제공하며 경쟁사 대비 70% 많은 취약성 데이터베이스를 가지고 있다"고 강조했다.

특히 리포지토리 파이어월의 경우 알려진 취약점은 물론 알려지지 않은 취약점까지도 선제적으로 방어한다. 리포지토리 파이어월에는 위협이 될만한 오픈소스가 시스템의 리포지토리로 다운로드되는 것을 원천적으로 차단하는 기능이 탑재됐다. 의심스러운 컴포넌트는 취약성이 해결되거나 악성유무가 파악되기 전까지 자동으로 격리되며, 취약점이 해소되면 자동으로 배포해 개발자의 생산성을 높여준다.

이날 OSC코리아는 애플리케이션에 존재하는 취약점을 찾아내고 관리하는 마이크로소프트의 '포티파이' 솔루션도 소개했다. 포티파이는 정적 애플리케이션 보안 테스트(SAST)와 동적 애플리케이션 보안 테스트(DAST)를 통해 애플리케이션의 보안을 강화한다.

또한 포티파이는 통합 콘솔인 소프트웨어 시큐리티 센터(SSC)를 제공한다. 사용자는 소스코드 취약점 점검과 오픈소스 라이브러리 점검 결과 등을 통합 관리할 수 있다. 포티파이 소개를 맡은 소희 OSC코리아 매니저는 "다양한 보고서와 대시보드 생성이 가능하기 때문에 팀간 보안 취약점에 대한 정보를 공유할 수 있고 협업이 용이하다"고 설명했다.