2024-03-28 20:15 (목)
블랙덕 “오픈소스 보안취약점 평균 5년이상 방치…보안 가시성 확보해야”
상태바
블랙덕 “오픈소스 보안취약점 평균 5년이상 방치…보안 가시성 확보해야”
  • 길민권 기자
  • 승인 2017.04.05 04:23
이 기사를 공유합니다

엔시큐어 “블랙덕 허브와 포티파이 결합해 보안취약점 관리 통합 솔루션 제공”

▲ 블랙덕소프트웨어(Blackduck software) 부사장이자 보안전략팀 총 책임자인 마이크 피튼져(Mike Pittenger).
▲블랙덕소프트웨어(Blackduck software) 부사장이자 보안전략팀 총 책임자인 마이크 피튼져(Mike Pittenger).
“한국에서 소프트웨어 개발시 오픈소스 사용비율은 보수적으로 잡아도 50%를 훌쩍 넘어선다. 임베디드 소프트웨어의 경우는 70%를 넘고 있다. 하지만 오픈소스 보안취약점 관리는 제대로 이루어지지 않고 있는 실정이다. 사용하는 오픈소스가 어떤 종류이며 어떤 버전인지 파악도 못하고 있어 Heartbleed, Shellshock, Poodle 등과 같은 치명적인 보안취약점을 그대로 방치하는 경우도 많다. 오픈소스 식별툴을 사용해 지속적인 보안관리가 될 수 있도록 오픈소스 가시성을 확보하는 것이 중요하다.”

4일, 블랙덕소프트웨어(Blackduck software) 부사장이자 보안전략팀 총 책임자인 마이크 피튼져(Mike Pittenger)는 블랙덕소프트웨어코리아(대표 김택완) 및 엔시큐어(대표 문성준)와 함께 서울 코엑스에서 보안 기자간담회를 열고 오픈소스 보안과 관련 기자들과 대화의 시간을 가졌다.

▲ 블랙덕소프트웨어코리아 김택완 대표이사
▲ 블랙덕소프트웨어코리아 김택완 대표이사
피튼져 부사장은 “오픈소스는 사이버공격자 입장에서는 매력적이다. 오픈소스는 공개된 코드로 누구나 분석이 가능한 반면 해커들도 코드를 분석해 취약점을 찾아 쉽게 악용할 수 있기 때문이다. 상용SW는 벤더에서 보안취약점을 찾아 패치를 푸시하지만 오픈소스는 사용자 스스로 모니터링해서 보안업데이트를 해야 한다. 이런 관리가 제대로 되지 않으면 긴급 보안이슈 발생시 큰 피해를 입을 수 있다”며 “2016년 조사결과 오픈소스 보안취약점은 평균 5년 이상 방치되고 있는 것으로 나타났다. 대부분 기업이 사용하는 오픈소스 보안취약점 모니터링을 적극적으로 하지 않아 자사 제품이나 서비스에 어떤 오픈소스가 사용되고 어떤 보안취약점이 존재하는지 알지 못해 치명적 보안위협에 무방비 상태로 노출되고 있다”고 우려했다.

또 “자동차에 들어가는 1억개의 코드라인에서 오픈소스는 35%, 대략 3천5백만 라인 정도 차지한다. 오픈소스 취약점을 관리하지 않으면 차를 리콜해 패치할 수밖에 없다. 또 취약점을 악용해 차량에 다양한 피해를 줄 수도 있다”며 “더불어 자사 제품에 사용된 오픈소스의 잠재적 보안 이슈로 인해 기업 가치가 떨어져 M&A시에도 타격을 입을 수 있을 것”이라고 덧붙였다.

한편 오픈소스는 두려워야 할 대상이 아니라 소프트웨어를 위한 훌륭한 도구이며, 모든 소프트웨어에는 보안취약점이 존재하기 마련이다. 오픈소스가 문제가 되는 시점은 오픈소스 사용에 대한 가시화 체계가 확보되지 못하거나 코드에 현존하는 보안취약점에 대해 조치를 하고 있지 않을 때라고 전했다.

김택완 블랙덕소프트웨어코리아 대표는 “블랙덕은 현재 한국지사 설립 10년째를 맞고 있으며 삼성, LG, 현대 등을 비롯해 40여개 대기업과 인터넷 서비스 기업, 대형 IT기업, 보안업체 등을 고객으로 확보하고 있다. 초기에는 오픈소스 라이선스 관리문제로 ‘블랙덕 프로텍스(Black Duck Protex)’ 위주의 도입이 주를 이루었다. 이와 더불어 최근 오픈소스 보안취약점으로 심각한 보안위협이 증가하면서 보안관리용 ‘블랙덕 허브(Black Duck Hub)에 대한 관심도 크게 증가하고 있다”고 밝혔다.

▲ 엔시큐어 문성준 대표이사
▲ 엔시큐어 문성준 대표이사
이어 “블랙덕 허브 출시 이후 구글, 페이스북, 인텔, NASA, 시티은행, BMW, IBM, SAP, 오라클 등 글로벌 300여 개 기업이 도입해 사용하고 있다”며 “오픈소스 라이션스와 보안 관리 부문에서 블랙덕은 전세계 80% 시장을 장악하고 있는 대표 기업이며 한국에서도 마찬가지다”라고 설명했다.

문성준 엔시큐어 대표는 “블랙덕 허브는 오픈소스 보안취약점 관리에 특화된 솔루션으로 한국에서도 대기업을 중심으로 도입이 이루어질 전망”이라며 “오픈소스 보안에 대한 인식이 자리잡기 위해서는 아직 1~2년 정도의 시간이 필요하다고 생각하지만 국내 시장 확대에 본격적인 영업활동을 해 나가겠다. 특히 ‘블랙덕 허브’와 ‘포티파이’를 결합해 상용소프트웨어와 오픈소스 보안취약점 관리를 위한 통합솔루션을 제공할 계획”이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★