보안

소나타입, 공개되지 않았던 450만건 오픈소스 취약점 발표

김보민 기자
[ⓒ소나타입 홈페이지 캡처]
[ⓒ소나타입 홈페이지 캡처]

[디지털데일리 김보민기자] 소나타입이 자체 취약점 탐지 기술로 기존에 발견하기 어려운 위험 요소를 식별했다.

오픈소스 거버넌스 자동화 솔루션 기업 소나타입은 자사 플랫폼에 신규 '음영화된 취약점 탐지' 기능을 도입해 450만건 오픈소스 취약점을 탐지했다고 25일 밝혔다.

이번 탐지 기능은 소나타입이 개발한 새로운 알고리즘을 기반으로, 기존에 식별하기 어려웠던 '음영화된' 오픈소스 파일 내 취약점을 확인하도록 돕는다. 음영화는 원본 코드를 다시 패키징 하는 기법으로, 프로젝트 내에서 취약점이 포함된 코드가 재배치될 경우 기존 탐지 방식으로 식별을 어렵게 만드는 기법이다.

소나타입은 이번 신기능으로 소프트웨어 공급망 내 잠재된 위험 요소를 새로 발견할 수 있었다고 설명했다. 총 450만건 오픈소스 취약점 중 185만건은 '높음' 등급, 33만6000건은 미국 취약점 데이터베이스(NVD)에서 '심각'으로 분류된 로그포셸(Log4Shell) 수준 위협이었다.

웨인 잭슨 소나타입 최고경영자(CEO)는 "디지털 세계를 뒷받침하는 오픈소스 소프트웨어 보안에 충분히 좋은 수준이란 있을 수 없다"며 "해커들의 공격 방식이 진화하고 있어 우리 역시 그에 맞춰 발전해야 한다"고 강조했다.

이어 "취약점에 대한 심층 인사이트를 제공해 생산성을 높이고, 위험을 최소화할 수 있는 도구와 자동화 환경을 갖추는 것이 우리의 임무"라고 설명했다.

취약점 데이터베이스 정확성이 중요한 이유는 개발팀이 실제 위협에만 집중하고 가짜 경고로 인한 시간 낭비를 줄일 수 있기 때문이다. 과탐은 불필요한 작업을 초래하고, 미탐은 실제 위험을 간과하게 만든다.

소나타입의 데이터는 개발팀이 실제 위협에만 시간을 쏟을 수 있게 돕고, 생산성을 극대화하는 동시에 보안 리스크도 최소화하도록 지원한다.

소나타입 플랫폼은 ▲넥서스 리파지토리(기업용 넥서스 오픈소스 바이너리 아티팩트 저장소) ▲리포지토리 파이어월(오픈소스 저장소 방화벽) ▲라이프사이클(오픈소스 개발 라이프사이클 거버넌스 자동화 도구) ▲소프트웨어자재명세서(SBOM) 매니저 등으로 구성된다.

소나타입은 이번에 새로 발견한 취약점을 기반으로 단계별 해결 방안을 제공할 예정이다. 7월부터 '심각' 수준 음영화된 취약점부터 4단계에 걸쳐 심각도 단계별로 방안을 제시한다는 구상이다. 관련 내용은 국내 총판 오에스씨코리아를 통해 확인할 수 있다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널