기업들의 클라우드를 향한 대 이동이 시작되면서, 애플리케이션도 기존의 모놀리식 아키텍처에서 클라우드 네이티브로 빠르게 전환되고 있다. 이는 다시 말해 컨테이너와 쿠버네티스와 같은 오픈소스 기술에 더욱 깊은 연관 관계를 맺게 된다는 것을 의미한다.
클라우드 네이티브로 인해 과거와는 달리 앱 개발에 데브옵스(DevOps)나 데브섹옵스(DevSecOps), 앱섹(AppSec) 등과 같은 개념이 확산되고 있는 것 또한 하나의 트렌드가 되고 있다. 하지만 이렇게 급격하게 세를 불리고 있는 오픈소스로 인해 보안 문제나 IP 관련 분쟁에 휘말릴 수도 있다는 것이다. 리눅스재단에서 발간한 보고서에 따르면 약 98% 이상의 기업이 오픈소스 소프트웨어를 사용하고 있고, 95%가 넘는 기업들이 소프트웨어 보안에 대해 우려하고 있다고 응답했다.
특히 오픈소스를 통한 사이버 공격의 기법이 날로 교묘해지고 있어, 관리자와 보안 담당자는 하루도 편할 날이 없다. 특히 새로운 공격 기법들로 인해 보안팀은 이를 방어하는데 무척이나 애를 먹고 있고, 이는 모든 기업의 고민거리가 되고 있다.
이미 알려져 있거나 혹은 알려지지 않은 취약성과 악성코드, 멀웨어가 내부 리포지토리로 다운로드되는 것을 원천 차단하는 새로운 개념의 방어 기술인, 리포지토리 방화벽 솔루션은 보안팀이 설정한 보안정책에 위배되는 오픈소스 라이브러리가 내부 개발환경에 유입되는 것을 자동으로 차단, 격리한 후 담당자에게 알려준다. 마치 네트워크 방화벽이 의심스러운 트래픽의 유입을 막는 것과 유사한 방식이다. OSC Korea가 국내에 공급하고 있는 소나타입(Sonatype)의 ‘리포지토리 파이어월(Repository Firewall)’이 바로 이런 오픈소스 라이브러리로 인한 보안 문제를 해결하기 위한 솔루션이다.
SDLC의 모든 단계와 연동해 보안위협 식별
개발 방식의 변화로 인해 최근의 현대화된 애플리케이션 개발에는 오픈소스 퍼블릭 라이브러리를 통해 모듈 단위의 패키지나 바이너리를 활용하는 경우가 점차 늘고 있기 때문에, 과거의 소스코드 분석 방식으로는 취약점을 찾는 것이 거의 불가능하다. 따라서 코드 스캐닝 방식의 보안 솔루션 보다는 바이너리 라이브러리 스캐닝 방식의 중요성이 더욱 강조되고 있는 것이다.
이 외에도 개발자들은 다양한 위협에 노출돼 있다. 개발자 계정이 탈취돼 악성 패키지가 업로드되거나, 타이포스쿼팅(Typosquatting), 체인재킹(Chainjacking) 등 악성 패키지가 정상 패키지로 위장해 개발자도 모르는 사이 사용될 수 있다. 또, 많은 기업들이 알려진 결함이나 보안 위약점의 존재 여부나 업그레이드 시기, 방법에 대해 무지하며, 소프트웨어 자산에 대한 인벤토리가 없는 경우도 허다하다. 그러나 이런 문제를 알고도 어디에 투자를 하고 어떻게 보안을 강화해야 하는지 알지 못하는 기업이 대부분이다.
오픈소스 보안에 최적화된 솔루션을 보유한 소나타입은 최근 ▲리포지토리로 악성 오픈소스 컴포넌트의 유입을 방지하는 방화벽인 ‘리포지토리 파이어월(Firewall)’ ▲SDLC(Software Development Life Cycle)에서 사용되는 아티팩트나 라이브러리, 릴리즈를 식별해 안전한 패키지만 제공하는 저장소인 ‘리포지토리 프로(Repository Pro)’ ▲SDLC의 모든 단계와 연동해 자동으로 보안위협을 식별하고 개발 정책을 적용해 대응해주는 ‘라이프사이클(Lifecycle)’로 새롭게 플랫폼을 구성했다.
리포지토리 파이어월의 최대 장점은 이미 알려진, 또는 알려지지 않은 오픈소스 위협이 시스템의 리포지토리로 다운로드 되는 것을 원천 차단하는 기능이다. 의심스러운 컴포넌트의 경우 취약성이 해결되거나 악성유무가 파악되기 전까지 자동으로 격리된다. 악성 컴포넌트의 취약점이 해소되면 자동으로 배포해 개발자의 생산성을 높여준다. 또한 보안팀에서 오픈소스 사용 정책을 적용하고 관리할 수 있는 기능을 제공해 사전에 위험을 파악하고 대응할 수 있도록 기능을 제공한다.
소나타입 라이프사이클은 SDLC의 설계, 개발, 테스트, 배포가 이뤄지는 모든 단계에서 개발 효율을 높일 수 있도록 다양한 툴과 기능을 제공한다. 개발자가 익숙한 툴을 사용해 오픈소스 위협에 대응하고 정책을 자동으로 실행해, 보안, 라이센스 위반을 분석하고 리스크를 줄여준다. 소나타입은 다양한 보안 경험과 경력을 가진 전문가가 기존에 공개된 취약점 데이터베이스보다 방대한 오픈소스 취약점 정보를 분석해 제공하며, 지속적인 실시간 검사를 통해 공개된 취약점 데이터베이스에 조회하는 것보다 10배 이상 빠르게 새로운 오픈소스 취약점을 발견하고 진단 결과를 제공해 조치할 수 있도록 지원한다.
디지털 전환 전략의 기반 마련하는 데브섹옵스
기업의 오픈소스 활용은 이미 일상화되고 있지만, 이로 인한 보안 위협에 대응하기 위한 보안 전략을 구성하고 실행하는 것은, 공격 기법의 다양화로 인해 아직도 많은 기업들이 어려움을 겪고 있다. 소나타입과 같은 데브섹옵스 보안 툴을 활용하는 것이 이런 새로운 문제의 해결책이 될 수 있으며, 이를 통해 강력한 오픈소스 보안을 제공함으로써, 고객이 더 높은 품질의 애플리케이션을 개발할 수 있도록 지원함으로써 비즈니스 경쟁력을 향상시킬 수 있는 방법을 제공할 수 있게 된다.
이같은 데브섹옵스 툴은 기업의 디지털 전환 전략의 일환으로 추진되고 있는 클라우드 네이티브, 즉 데브옵스, 마이크로서비스 아키텍처, 쿠버네티스 등의 다른 오픈소스 관련 기술의 기반을 마련함으로써 기업들이 오픈소스 기반의 클라우드 네이티브 환경이 제공하는 다양한 장점을 누릴 수 있게 해 준다.