제주은행이 오픈소스 스캐너 도입을 서두르는 이유

“매일 금융감독원으로부터 취약점 공지가 오지만, 정작 우리 시스템에 어떤 오픈소스가 있는지 현황을 파악하기가 쉽지 않습니다.”

신동일 제주은행 정보보호파트 프로(과장)는 11일 서울 용산구에서 열린 ‘SAI 2026 AI-Powered AppSec: AI 혁신으로 완성하는 SW 공급망 보안’ 세미나에서 이같이 밝혔다.

신 과장은 오픈소스 사용 비중이 높아지면서 금융권이 겪고 있는 공급망 보안의 현실적인 한계를 지적했다. 그는 “현재 취약점 공지가 매일 오고 있지만 정작 우리 시스템에 어떤 오픈소스가 있는지 현황을 알기 어렵다”며 “전 서버를 분석해 어느 서버에 어떤 오픈소스와 버전이 있는지 알아야 대응을 할 수 있다”고 설명했다. 이어 “현실적으로는 그게 지금 안되고 있는 부분”이라고 꼬집었다.

현대 IT 환경은 외부 오픈소스 의존도가 높다. 금융권 또한 차세대 시스템 구축 과정에서 여러 외주 솔루션을 도입하며 이러한 경향이 짙어졌다. 신 과장은 이를 식별하는 자동화 도구가 없을 경우 취약점 발견 시 관련 부서에 일일이 확인 서류를 보내 현황을 파악해야 하는 수동적인 과정을 거쳐야 한다고 설명했다.

제주은행은 이 같은 문제를 해결하기 위해 소프트웨어 구성 분석(SCA) 솔루션을 올해 3분기 내 도입할 예정이라고 밝혔다. SCA는 서버 내부에 어떤 오픈소스가 어느 버전으로 사용되고 있는지 스캐닝하는 오픈소스 스캐너다. 신 과장은 향후 솔루션 도입 효과에 대해 “시스템 현황 파악이 가능해지면 취약점 대응 시간 단축 등 관리 효율성 면에서 긍정적인 변화를 기대한다”고 말했다.

제주은행은 지난 2021년 10월 소스코드 보안 점검 도구인 사스트(SAST)를 도입했다. 사스트는 프로그램 구동 전 소스코드 자체를 스캔해 내부에 숨어있는 보안 취약점을 미리 찾아내는 기술이다. 제주은행은 이를 통해 개발 단계부터 보안을 점검하는 파이프라인을 정착시켰다.

신 과장의 발표에 따르면 과거 보안 담당자 중심의 취약점 점검은 업무가 지연되는 문제를 자주 발생시켰다. 소스 수정과 재점검을 최대 10차례 반복하기도 했다. 해결책은 형상관리 시스템 이캠스(eCAMS)에 사스트를 연동하는 것이었다. 개발자가 직접 소스코드를 점검하고, 취약점이 발견되면 자동으로 반영을 차단해 파이프라인 보안 통합을 이뤄냈다.

기존 사스트가 자체 개발한 코드의 취약점을 걸러낸다면, 새롭게 도입하는 SCA는 시스템에 쓰인 외부 오픈소스 파악에 활용된다. 신 과장은 “사스트를 통해 내부 개발 보안은 잘 이뤄지고 있다”며 “여기에 SCA를 더해 서버 내 어떤 오픈소스와 라이브러리가 있는지 식별할 것”이라고 덧붙였다. 오픈소스 사용 현황이 뚜렷해지면 금융당국의 취약점 공지가 내려왔을 때 수동 확인 없이 즉각적인 대응이 가능해져 관리 효율성을 크게 높일 수 있다는 설명이다.

제주은행은 또 최근 제로 트러스트 도입 구축 컨설팅을 마치고 10개 핵심 과제를 도출했다고 밝혔다. 향후에는 새롭게 도입하는 SCA와 기존 사스트를 상호 연동할 방침이다. 소스코드 반입 단계부터 배포, 운영까지 전 과정에 걸쳐 자동화된 공급망 보안 프로세스를 완성한다는 계획이다.

글. 바이라인네트워크
<김원민 기자>wmkim627@byline.network