체크막스, 심각해지는 ‘SW 공급망 보안 위협’ 3가지 해법 제시

지난해 10월 한국에 진출한 체크막스는 개발자 중심 애플리케이션 보안 테스팅 (Application Security Testing, AST) 솔루션 분야의 글로벌 리더로서 폭발적으로 증가하고 있는 글로벌 소프트웨어 공급망 보안 위협의 심각성을 알리고, 이에 대한 해법을 제시하는 기자간담회를 개최했다. (사진=체크막스)

체크막스(Checkmarx)가 오픈소스 환경에서 소프트웨어(SW) 개발 시 발생할 수 있는 보안 위협과, 이를 해결하기 위한 방안을 제시했다.

정보기술 연구 자문사인 가트너는 '2025년까지 60%의 기업이 공급망 보안 공격에 대비해서 소프트웨어 딜리버리 파이프라인을 강화할 것'이라고 예상했다. 실제 체크막스 보안 연구팀도 최근 수백 개에 달하는 악성 오픈소스 패키지를 파악했으며, 이를 의존성 혼동(dependency confusion), 타이포스쿼팅(typosquatting), 체인잭킹(chainjacking) 등 크게 세 가지 유형으로 나누기도 했다.

이에 체크막스는 26일 인터컨티넨탈서울 코엑스에서 기자간담회를 열고 ▲오픈소스 내 사이버보안 위협과 해결방안 ▲안전한 소프트웨어 개발(Security by Design)을 위한 3가지 제안 등을 소개하면서 이 같은 방안을 제시했다.

특히 이날 기자간담회에는 체크막스코리아의 송대근 지사장과 체크막스의 북아시아 영업총괄인 애드리안 옹(Adrian Ong) 부사장을 비롯해 한국을 처음 방문한 자키 조렌슈타인(Tzachi Zorenshtain) 공급망 보안 총괄도 참석해 한국 사업에 대한 높은 관심을 드러냈다.

이날 기자간담회에는 체크막스의 북아시아 영업총괄인 애드리안 옹(Adrian Ong) 부사장(좌)을 비롯해 한국을 처음 방문한 자키 조렌슈타인(Tzachi Zorenshtain) 공급망 보안 총괄(우)도 참석해 오픈소스 퐌경 내 제품 개발 과정에서 사이버 보안 위협 사례를 구체적으로 설명했다. (사진=체크막스)

이날 간담회에 참석한 애드리안 옹 부사장과 자키 조렌슈타인 공급망 보안 총괄은 오픈소스 환경 내 제품 개발 과정에서 사이버 보안 위협이 갈수록 커지고 있다면서, 이를 해결하기 위한 방안으로 체크막스 공급망 보안 솔루션을 제시했다.

자키 조렌슈타인 체크막스 공급망 보안 총괄은 체크막스가 모던 애플리케이션 개발 라이프사이클에 걸친 잠재적 악성 오픈소스 패키지를 파악할 수 있는 '체크막스 공급망 보안(Checkmarx Supply Chain Security)' 솔루션을 출시했다며 이를 통해 문제가 될 수 있는 보안 위협을 예방할 수 있다고 강조했다.

'체크막스 공급망 보안' 솔루션은 체크막스 소프트웨어 구성 분석(Checkmarx Software Composition Analysis, SCA)과 함께 작동해서 오픈소스 프로젝트의 건전성과 보안 이상 징후를 파악하고 '기여자 평판(contributor reputation)'을 분석하며 '디토네이션 챔버(detonation chamber)' 내 분석을 통해 패키지 행태를 분석하고 직접 정보를 확보한다. 이를 통해 소프트웨어 공급망 전 영역에 걸친 분석과 인사이트를 통해 기업 애플리케이션 보안의 중대한 공백을 메울 수 있다는 것이다.

특히 체크막스 공급망 보안 솔루션을 통해 기업들은 ▲패키지의 건전성과 소프트웨어 자재명세서(SBOM) ▲악성 패키지 탐지 ▲기여자 평판 ▲행위 분석 ▲지속적 결과 처리 등의 필수적 역량을 이용해서 오픈소스 소프트웨어를 안전하게 활용, 모던 애플리케이션 개발을 가속화할 수 있다고 설명했다.

송대근 체크막스코리아 지사장. (사진=체크막스)

이와 더불어 송대근 체크막스코리아 지사장은 '안전한 소프트웨어 개발(Security by Design)을 위한 3가지 제안'을 주제로 발표를 진행했다. 송대근 지사장은 소프트웨어 개발 환경을 언급하며, 클라우드 기반의 데브섹옵스(DevSecOps)를 도입하려면 소프트웨어 개발 과정(SDLC)에 어떻게 보안을 내재화할 것인지가 중요하다고 강조했다.

송 지사장은 안전한 소프트웨어 개발(Security by Design)을 위한 3가지 해결책으로 ▲Build/CI 솔루션을 통한 자동화된 보안 취약점 점검 절차 확립 ▲오픈소스 취약점 관리 ▲맞춤형 가이드를 통한 개발자 보안 역량 강화를 꼽았다. 이를 통해 ▲애플리케이션 보안 취약점 제거 ▲오픈소스 애플리케이션 보안 취약점 및 라이선스 규정 위반 예방 ▲전문가 서비스 및 시큐어 코딩 역량 강화 등의 기대효과를 제공한다고 강조했다.

한편 체크막스는 개발자 중심 애플리케이션 보안 테스팅(Application Security Testing, AST) 솔루션 분야의 글로벌 리더로서 지난해 10월 국내 진출 이후 활발히 국내 비즈니스를 전개해 나가고 있다.

황정호 기자

jhh@tech42.co.kr
기자의 다른 기사보기
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지

관련 기사

프리뉴, 30억원 규모 투자 유치… 드론 서비스 플랫폼 개발 박차

무인 항공기 제조 및 개발 전문 기업 프리뉴가 30억원 규모의 시리즈A 투자 유치를 완료했다고 4일 밝혔다.

펀더풀, 투자자 인증하면 영화 예매권 증정

K-콘텐츠 증권투자 플랫폼 ‘펀더풀’이 투자자 인증을 완료한 고객을 대상으로 영화 예매권을 증정하는 특별 이벤트를 진행한다고 4일 밝혔다.

명품과 만난 카카오톡 선물하기, ‘프레드’ 국내 첫 온라인 입점

카카오는 4일 프랑스 쥬얼리 브랜드 ‘프레드(FRED)’가 카카오톡 선물하기(이하 선물하기)에 국내 이커머스 업계 최초로 입점했다고 밝혔다. 최근 카카오톡 선물하기에 다양한 명품...

그린도트-젠스타메이트, ‘친환경 충전 및 모빌리티 서비스 플랫폼 구축’ 협약

E-모빌리티 충전 서비스 허브 플랫폼 그린도트가 상업용 부동산 종합 서비스 기업인 젠스타메이트와 손을 잡고 모빌리티 전기 충전 플랫폼 구축을 추진한다고...