“국경이 없는 사이버 세계에서 의지가 확고한 공격자들은 소프트웨어 공격망을 계속해서 오염시키려 한다.”
자키 조렌슈타인 체크막스 공급망 보안 총괄은 26일 코엑스에서 열린 체크막스 기자간담회에서 소프트웨어 개발 시 발생할 수 있는 보안 위협과 해결 방안을 제시했다. 체크막스는 소프트웨어 개발 단계에서 사용하는 보안 솔루션을 공급하는 글로벌 기업이다.
|
이날 간담회에서는 소프트웨어 공급망에 대한 위험성과 그에 대한 해결책으로 ‘체크막스 공급망 보안 솔루션’을 소개했다. 송대근 체크막스코리아 지사장, 애드리안 옹 체크막스 북아시아 영업총괄 부사장과 자키 공급망 보안 총괄이 강연자로 나서며 한국 사업에 대해 큰 관심을 나타냈다.
개발자들은 오픈소스를 활용해 소프트웨어를 개발한다. 개발 시간을 단축해 사업적 요구 사항을 빨리 소화시킬 수 있기 때문이다. 하지만 오픈소스 안에 어떤 치명적인 취약점들이 있는지 알 수 없기에 보안에 신경써야 한다. 자키 공급망 보안 총괄은 “소프트웨어 공급망은 프로세스(process) 제작 과정”이라며 “개발자가 코드를 쓰고 저장하는 과정에서 소프트웨어 공급망은 리스크(risk)를 가질 수 밖에 없다”고 설명했다.
자키 보안 총괄은 체크막스의 공급망 보안 솔루션으로 잠재적 악성 오픈소스 패키지를 파악할 수 있다고 강조했다. 이 솔루션은 우선 소프트웨어의 구성을 분석해 오픈소스의 보안 이상 징후를 파악한다. 또 기여자 평판도 확인해 믿고 쓸 수 있는 오픈소스인지 파악한다. 체크막스 측은 솔루션를 통해 소프트웨어 공급망 전 영역에 걸친 분석을 통해 기업 애플리케이션 보안 공백을 메울 수 있다고 설명했다.
|
애드리안 옹 부사장은 “한국 개발자들이 걱정 없이 일할 수 있도록 하겠다”며 “체크막스에게는 분명한 솔루션이 있다”고 강조했다. 그는 체크막스는 매월 100만 건 이상의 패키지를 처리한다고 설명했다. 그러면서 “모든 패키지를 일일이 확인은 힘든 만큼 로컬(local) 파트너와 협력도 기대한다”며 한국 기업들과도 함께 작업하고 싶다는 뜻을 내비쳤다.
|
송대근 체크막스코리아 지사장은 안전한 소프트웨어 개발을 위한 3가지 제안을 주제로 발표했다. 송 지사장은 “많은 기업들이 보안성 강화를 위해 데브섹옵스(DevSecOps)로 넘어가고 있다”고 했다. 데브섹옵스는 애플리케이션 개발·운영 등 과정에 보안을 통합한 환경을 뜻한다. 송 지사장은 안전한 개발을 위한 해결책으로 △자동화된 보안 취약점 점검 절차 확립 △오픈소스 취약점 관리 △맞춤형 가이드를 통한 개발자 보안 역량 강화 등을 꼽았다.