“국경이 없는 사이버 세계에서 의지가 확고한 공격자들은 소프트웨어 공격망을 계속해서 오염시키려 한다.”
자키 조렌슈타인 체크막스 공급망 보안 총괄은 26일 코엑스에서 열린 체크막스 기자간담회에서 소프트웨어 개발 시 발생할 수 있는 보안 위협과 해결 방안을 제시했다. 체크막스는 소프트웨어 개발 단계에서 사용하는 보안 솔루션을 공급하는 글로벌 기업이다.
이날 간담회에서는 소프트웨어 공급망에 대한 위험성과 그에 대한 해결책으로 ‘체크막스 공급망 보안 솔루션’을 소개했다. 송대근 체크막스코리아 지사장, 애드리안 옹 체크막스 북아시아 영업총괄 부사장과 자키 공급망 보안 총괄이 강연자로 나서며 한국 사업에 대해 큰 관심을 나타냈다.
개발자들은 오픈소스를 활용해 소프트웨어를 개발한다. 개발 시간을 단축해 사업적 요구 사항을 빨리 소화시킬 수 있기 때문이다. 하지만 오픈소스 안에 어떤 치명적인 취약점들이 있는지 알 수 없기에 보안에 신경써야 한다. 자키 공급망 보안 총괄은 “소프트웨어 공급망은 프로세스(process) 제작 과정”이라며 “개발자가 코드를 쓰고 저장하는 과정에서 소프트웨어 공급망은 리스크(risk)를 가질 수 밖에 없다”고 설명했다.
자키 보안 총괄은 체크막스의 공급망 보안 솔루션으로 잠재적 악성 오픈소스 패키지를 파악할 수 있다고 강조했다. 이 솔루션은 우선 소프트웨어의 구성을 분석해 오픈소스의 보안 이상 징후를 파악한다. 또 기여자 평판도 확인해 믿고 쓸 수 있는 오픈소스인지 파악한다. 체크막스 측은 솔루션를 통해 소프트웨어 공급망 전 영역에 걸친 분석을 통해 기업 애플리케이션 보안 공백을 메울 수 있다고 설명했다.
애드리안 옹 부사장은 “한국 개발자들이 걱정 없이 일할 수 있도록 하겠다”며 “체크막스에게는 분명한 솔루션이 있다”고 강조했다. 그는 체크막스는 매월 100만 건 이상의 패키지를 처리한다고 설명했다. 그러면서 “모든 패키지를 일일이 확인은 힘든 만큼 로컬(local) 파트너와 협력도 기대한다”며 한국 기업들과도 함께 작업하고 싶다는 뜻을 내비쳤다.
송대근 체크막스코리아 지사장은 안전한 소프트웨어 개발을 위한 3가지 제안을 주제로 발표했다. 송 지사장은 “많은 기업들이 보안성 강화를 위해 데브섹옵스(DevSecOps)로 넘어가고 있다”고 했다. 데브섹옵스는 애플리케이션 개발·운영 등 과정에 보안을 통합한 환경을 뜻한다. 송 지사장은 안전한 개발을 위한 해결책으로 △자동화된 보안 취약점 점검 절차 확립 △오픈소스 취약점 관리 △맞춤형 가이드를 통한 개발자 보안 역량 강화 등을 꼽았다.