"오픈소스 소프트웨어(SW) 전문가가 많지만 아직 '오픈소스SW 보안' 전문가는 많지 않다. 조직내 보안담당부서와 오픈소스SW 담당부서가 분리돼 있어서다. 보안에 오픈소스SW 전문가가 참여해야 한다."
김택완 블랙덕소프트웨어코리아 대표가 오픈소스SW 보안 전문가의 중요성을 강조했다. 기업내 SW 개발 환경에서 오픈소스SW 코드 활용은 보편적인 행위로 자리잡았지만, 정작 이 분야 특성에 맞는 보안 인식과 관련 전문가의 역량 확보 수준은 미흡하다는 판단에서다.
김 대표는 지난 24일 인터뷰 자리에서 "국내 기업 보안팀에 오픈소스(SW보안) 전문가가 전혀 없는데, 이제 오픈소스 전문가가 보안(업무에) 참여해야 한다"며 "기업의 인식전환 노력과 고객사 설득을 하고 있지만 여전히 보안팀, 오픈소스팀이 분리돼 있다"고 지적했다.
최근 블랙덕소프트웨어코리아는 오픈소스 라이선스 리스크 관리와 컴플라이언스 준수 컨설팅 위주에서 오픈소스SW 보안취약점 대응 기술과 전문역량 지원 강화 쪽으로 사업을 강화하고 있다. 지난 2016년 출시한 오픈소스 보안취약점 관리 자동화 솔루션 '블랙덕허브' 사업이 그 일환이다. 이는 기업 SW 개발 환경에서 비중이 커진 오픈소스SW 코드의 보안취약점을 식별하고 대응하도록 돕는 툴이다.
김 대표는 "과거 오픈소스SW 활용이 확산 시기에 그걸 어떻게 관리해야 한다는 방법론이나 필요한 정보가 부족해 기업들에게 오픈소스 거버넌스 트렌드와 베스트프랙티스가 중시됐다"며 "그간 오픈소스SW 라이선스 관련 이슈도 오랫동안 강조됐고 기업들의 인식도 높아졌다"고 설명했다.
이어 "반면 오픈소스 보안취약점 문제는 최근 대두된 핫이슈라, 이 분야 정보 공유와 인식 확산에 주력하고 있다"고 말했다.
기업이 오픈소스SW 보안취약점 때문에 화를 입은 사례로 지난해 미국 대형 신용평가사 '에퀴팩스' 해킹 사건이 꼽힌다. 에퀴팩스는 2017년 5~7월중 웹사이트 취약점을 악용당해 미국 소비자 1억4천만명 이상의 개인정보를 유출했다. 문제의 취약점은 자바 웹애플리케이션용 오픈소스 프레임워크인 '아파치 스트럿츠'의 특정버전에 존재했지만, 그 패치는 에퀴팩스가 해킹을 당하기 전인 2017년 3월 이미 나왔다. 사고 이후 에퀴팩스의 관리부실 문제가 비판을 받았고 CIO, CSO, 회장 겸 CEO가 줄줄이 퇴사했다.
김 대표는 "오픈소스 보안취약점 때문에 해킹을 당하더라도 기업 스스로 조사를 통해 그게 주원인이었다고 밝혀내기는 쉽지 않다"며 "오픈소스 취약점에 대한 무지가 허들로 작용해서 그런 해킹이 발생해도 원인을 제대로 인지하지 못하는 것"이라고 주장했다.
■ "오픈소스 전문가가 보안팀에 참여해야"
상당수 기업들은 억울해할 수 있다. 이미 효율적인 SW개발 방안으로 인식하고 오픈소스를 적극 활용하고 있다. 자체 전문인력을 두고 사고를 방지하려는 노력도 기울이고 있다. 그런데 왜 오픈소스 보안취약점에 무지하다는 평가를 받을까.
김 대표는 "기업에서 오픈소스 전문가는 SW품질 내지 라이선스 담당이나 법무팀 소속으로 일하긴 했어도 보안팀에는 전혀 없었다"며 "오픈소스 전문가가 보안에도 참여해야 한다는 인식전환이 필요한데, 여전히 기업내 보안팀과 오픈소스팀은 좀 분리돼 있다"고 평했다.
이어 "과거엔 오픈소스보다 독점SW 비중이 컸지만 지금은 반대라, 어떤 SW보안의 70~80% 비중을 오픈소스 보안이 차지할만큼 중요해진 상황"이라고 강조했다.
그는 또 "어떤 오픈소스 취약점이 1.1.1.4 버전에서 발견됐고 이후 해결됐는데, 지금 최신 버전이 1.1.1.8 버전까지 나왔다면, 그 오픈소스를 쓰는 기업에선 기존 시스템 수정을 최소화하면서 취약점이 해결된 게 1.1.1.4부터 1.1.1.8 사이 어떤 버전일지 판단해야 하기때문에 오픈소스 보안 전문가가 필요하다"고 설명했다.
김 대표는 "에퀴팩스뿐아니라 IoT기기 감염으로 미국 동부 인터넷이 끊겼던 '딘(Dyn)' 도메인네임시스템(DNS) 장애 사건도 오픈소스 보안취약점 중요성을 환기하는 계기로 작용해, 국내외 기업들은 이제 막 오픈소스 보안 이슈를 적극적으로 들여다보기 시작하는 단계"라고 봤다.
그에 따르면 오픈소스 보안취약점은 기업 의뢰를 받아 전문적인 침투테스트와 취약점분석을 수행하는 보안컨설팅업체의 레이더에 잘 걸리지 않는다. 그들의 전문성이 떨어져서가 아니라, 초점이 달라서다.
김 대표는 "일반적으로 보안컨설팅 전문업체의 업무는 패스워드 무작위대입을 포함해 아직 알려지지 않은 취약점을 파악해 해킹하는 전통적인 접근법에 가깝다"며 "즉 침투테스트와 정적분석에 초점을 맞추는데, 그건 '혹시나 있을지 모르는' 보안취약점을 찾는 것"이라며 "오픈소스 보안취약점은 이미 발견돼 해커들이 악용할 수 있지만 기업이 미처 막지 못한 상태에서 발생한다"고 설명했다.
이어 "기업 스스로 어떤 오픈소스를 썼는지 알면, 즉 '가시성'만 있으면 이미 존재하는 취약점을 해결할 수 있는데 그게 있다는 걸 몰라서 못 한다"며 "4년전 나온 오픈SSL도 심각한 보안취약점(하트블리드)이 알려진지 꽤 됐는데 여전히 문제가 있는 버전을 쓰는 곳이 70~80%에 달한다"고 말했다.
■ "국내 오픈소스 보안 인식 높이고 취약점대응 솔루션 제공"
블랙덕소프트웨어코리아는 이런 배경에서 오픈소스 보안을 바라보는 국내 기업의 인식 수준을 끌어올리고 실제 오픈소스 보안취약점 대응에 필요한 기술과 전문역량을 제공하는 데 주력할 계획이다.
같은 목적으로 지난 2016년부터 라온화이트햇센터, 엔시큐어 등 기존 국내 기업 보안전문업체와 파트너 관계를 맺고 있다. 이 회사들은 기업 환경에 블랙덕소프트웨어의 취약점분석툴을 적용하고, 발견된 취약점의 심각도 판정과 대응 해법을 제시한다.
김 대표는 오픈소스 보안 분야를 기존 오픈소스 관련 시장에서 성장 잠재력이 큰 영역으로 꼽고 있다. 블랙덕소프트웨어코리아의 기존 라이선스 관리툴 최대 고객사인 삼성전자를 포함한 여러 대기업과 새로운 중소중견기업 고객을 확보할 기회로도 보는 분위기다.
김 대표는 "오픈소스 라이선스 솔루션 분야 수요는 대기업과 해외수출 사업이 큰 제조사 위주로 형성돼 성장 가능성에 제약이 좀 있지만, 오픈소스 보안 분야 수요는 대기업과 제조사뿐아니라 금융사, IT서비스 부서가 있는 일반 기업, 자체 제품이 없더라도 포털이나 인터넷쇼핑 등 사이트를 운영하는 회사와 관련 업무를 맡는 부서 등 대부분 기업에서 기대할 수 있다"고 내다봤다.
관련기사
- "오픈소스 취약점 관리, 가시화-컨설팅으로 대응해야"2018.05.28
- 美에퀴팩스, 대형 개인정보 유출사고 후 임원 줄퇴사2018.05.28
- "한국 아파치 스트럿츠 취약점 관리상황 심각"2018.05.28
- 플랫폼 곳곳에 쓰이는 AI…"삶이 더 편해진다"2024.04.26
그에 따르면 거의 모든 SW가 오픈소스를 포함하는 추세다. 이는 SW를 포함한 어떤 제품이든 오픈소스 보안취약점을 통한 해킹 위협 대상이 될 수 있음을 시사한다. 그 대응 솔루션 시장이 국내서만 수년내 200억~300억 규모가 될 거라고 김 대표는 내다봤다.
블랙덕소프트웨어코리아는 오픈소스 컨설팅, 라이선스 컴플라이언스 관리, 보안취약점 분석툴 전문업체다. 지난 2006년 블랙덕소프트웨어 본사와 SW 인큐베이션 전문회사 티에스케이지(TSKG)의 조인트벤처로 설립돼, 독립적으로 운영돼 왔다.
