오픈소스는 신뢰 기반 생태계, 공격자는 그 허점을 노린다
“오픈소스 생태계는 신뢰를 기반으로 만들어진 커뮤니티이다. 선한 의도를 가진 사람들은 항상 믿을 수 있다는 전제로 시작했다. 이를 악용해 공격자들은 쉽게 그 틈을 파고들고 있다.”
애플리케이션 보안 테스팅 솔루션 시장 선두기업인 체크막스의 자키 조렌슈타인(Tzachi Zorenshtain) 공급망 보안 총괄이 26일 열린 기자간담회에서 “수많은 사람들이 다운로드해 사용하는 인기가 좋은 오픈소스 소프트웨어 패키지를 대상으로 수많은 공격이 이뤄지고 있다”고 말하며 이같이 경고했다.
최근 애플리케이션이나 소프트웨어 개발 환경에서 오픈소스 패키지 사용 비중이 갈수록 커지고 있다. 90%에 달하는 경우도 있다. 개발자들은 빠르게 애플리케이션을 개발하기 위해 오픈소스를 사용하고 있지만, 사실 사용하는 오픈소스 패키지의 안전성과 신뢰성을 제대로 확인하지 않는 경우가 많다. 더욱이 전세계에서 수많은 사용자들이 활용하는 ‘인기 있는 패키지일수록’ 그럴 가능성이 크다.
조렌슈타인 공급망 보안 총괄은 “오픈소스는 사실 정글”이라며 “하나의 패키지 안에 다른 패키지가 들어가 있다. 하나가 아니라 수백개가 있는 경우가 있다. 내가 선택한 패키지 기여자를 믿어야 하는지, 그 안에 들어가 있는 수백개의 패키지 개발 기여자들을 믿을 수 있는지 사실 알 수가 없다”라면서 “그렇다고 개발자들 입장에서 오픈소스를 안쓰는 것은 현실적으로 불가능하다. 빨리 개발할 수 없기 때문”이라고 했다.
그는 “개발자들은 바쁘니 많은 사람들이 쓰는 인기가 좋은 패키지를 보면 내가 직접 자세히 들여다보지 않아도 다른 누군가가 잘 확인한 것이라고 생각을 하는 것”이라며 “공격자가 유명한 오픈소스 개발자나 기여자의 계정을 탈취해 악성 패키지를 배포하거나 자주 내려받는 패키지에 패스워드를 훔치는 코드를 심고 돈을 훔치는 크립토마이너, 악성코드를 심는다”고 설명했다.
체크막스가 추적하는 공격 조직 중에는 한 달에 악성 오픈소스 패키지를 1500개 이상 퍼블리싱하는 집단도 있다. 체크막스의 공급망공격 보안 툴이 이같은 악성 패키지를 찾아서 없애는 작업을 수행하고 있다.
조렌슈타인 총괄은 “이제는 단순히 기여자의 평판만 확인하는 것으로 충분치 않다. 평판도 훔칠 수 있기 때문”이라며 “악성 패키지를 만들어 공격하는 것은 매우 쉽다. 일단 아이덴티티가 필요한데, 신분증이 필요한 게 아니라 허위 이메일 주소만 있으면 된다. 퍼블리싱을 할 때 네이밍과 패키지 버전, 관련 프로젝트와 후속 프로젝트도 적당히 정해서 사용하면 된다”고 말했다.
이어 “체크막스는 개발자의 평판뿐 아니라 코드의 행위, 실제 실행될 경우 무엇을 하는지 분석한다. 파일 삭제를 시도하거나 패스워드를 훔치려고 하는 건 아닌지 분석하고 공격자를 찾아 사냥을 해 이들을 무력시킨다”라면서 “악의적 행위자들은 선한 목적으로 만든 기술을 나쁘게 활용할 수 있다. 소프트웨어 공급망을 오염시키려고 한다. 특정 표적을 대상으로 공격하는 경우도 있는데, 체크막스는 이들도 찾아내고 추적하는 일을 하고 있다”고 강조했다.
체크막스는 최근 현대적인(modern) 애플리케이션 개발 라이프사이클에 걸친 잠재적 악성 오픈소스 패키지를 파악할 수 있는 ‘체크막스 공급망 보안 솔루션’을 선보였다. 오픈소스 환경 내 제품 개발 과정에서 갈수록 커지고 있는 사이버보안 위협을 해결할 방안으로 이 솔루션을 제시했다.
‘체크막스 공급망 보안’ 솔루션은 체크막스 소프트웨어 구성 분석(Checkmarx Software Composition Analysis, SCA)과 함께 작동해‘오픈소스 프로젝트의 건전성과 보안 이상 징후를 파악하고 ▲‘기여자 평판(contributor reputation)’을 분석하며 ▲’디토네이션 챔버(detonation chamber)‘ 내 분석을 통해 패키지 행태를 분석하고 직접 정보를 확보한다. 이를 통해 소프트웨어 공급망 전 영역에 걸친 분석과 인사이트를 통해 기업 애플리케이션 보안의 중대한 공백을 메울 수 있다는 것이다.
더욱이 기업들이 ▲패키지의 건전성과 소프트웨어 자재명세서(SBOM) ▲악성 패키지 탐지 ▲기여자 평판 ▲행위 분석 ▲지속적 결과 처리 등의 필수 역량을 이용해서 오픈소스 소프트웨어를 안전하게 활용, 모던 애플리케이션 개발을 가속화할 수 있다고 설명했다.
한편, 이날 송대근 체크막스코리아 지사장은 ‘안전한 소프트웨어 개발(Security by Design)을 위한 3가지 제안’으로 ▲빌드(Build)/CI(Continuous Integration) 솔루션을 통한 자동화된 보안 취약점 점검 절차 확립 ▲오픈소스 취약점 관리 ▲맞춤형 가이드를 통한 개발자 보안 역량 강화를 꼽았다. 이를 통해 ▲애플리케이션 보안 취약점 제거 ▲오픈소스 애플리케이션 보안 취약점 및 라이선스 규정 위반 예방 ▲전문가 서비스 및 시큐어 코딩 역량 강화 등의 기대효과를 제공한다고 지적했다.
송 지사장은 “현재의 데브옵스(DevOps) 환경에서 보안성 강화하기 위해 기업들은 데브섹옵스(DevSecOps) 환경으로 많이 넘어가고 있다”며 “보안을 강구한 클라우드 기반 데브섹옵스를 도입하려면 소프트웨어 개발 과정(SDLC)에 어떻게 보안을 내재화할 것인지가 중요하다”고 밝혔다.
체크막스는 지난해 10월 국내 진출 이후 비즈니스를 전개해 나가고 있다. 한국 시장 환경에 맞는 주요 오픈소스 패키지의 안전성과 신뢰성에 대한 인텔리전스 서비스를 제공하기 위해 협력을 진행할 국내 전문기업을 현재 찾고 있다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
