"악성 오픈소스 소프트웨어(SW) 패키지 중 90%는 제대로 파악되지 않고 있다. SW는 디지털전환(DT)를 가능케 하는 근간으로, 상존하는 취약점을 상관관계까지 파악해 선제적으로 대응해야 한다"

로만 투마(Roman Tuma) 체크막스 CRO(Chief Revenue Officer)는 16일 강남 조선팰리스 호텔에서 열린 '체크막스 퓨전 출시 기자간담회'에서 이같이 말했다.

이날 체크막스는 지난 6일부터 9일까지 미국 샌프란시스코에서 열린 글로벌 사이버보안 컨퍼런스 'RSA 컨퍼런스 2022'에서 공개한 신제품 '체크막스 퓨전'과 '체크막스 원'을 선보였다.

SW보안 취약점 '큰 그림' 보는 것이 핵심

오픈소스 SW는 DT 흐름이 가속화되고 있는 오늘날 기업의 서비스 개발 및 출시를 위한 필수적 수단으로 자리잡았다. 시장이 빠르게 변화함에 따라 애플리케이션(앱) 및 서비스에 사용되는 SW를 처음부터 개발할 시간이 없기 때문이다. 이에 따라 개발자들은 공개돼있는 소스코드를 활용하고 있으며, 비즈니스를 구성하는 앱의 90% 이상이 오픈소스 코드로 이뤄져있다.

로만 CRO는 "빠른 속도로 개발이 진행되는 현재, 개발자들은 오픈소스 라이브러리에서 악성코드 감염 여부도 확인하지 않은 채 코드를 다운로드 받아 사용한다"며 "악성코드 또한 코드 관점에서 정교하게 잘 짜여진 코드기 때문에 오픈소스 패키지에 악성코드가 포함돼있더라도 일반적 스캔엔진으로는 파악할 수 없다"고 강조했다. 이어 "악성 SW패키지로 인해 보안사고가 발생하면 사람들은 원인보다는 브랜드에만 관심을 가지기 때문에 기업에서 SW공급망 취약점을 파악하는 것은 실질적 책임이 됐다"고 덧붙였다.

체크막스는 이같은 문제점에 대한 해결책으로 '체크막스 퓨전' 엔진을 제시했다. 이 엔진은 멀티 스캔을 통해 데이터 간 상관관계를 파악하고, 여러 엔진에서 도출된 스캔 결과를 모아 대시보드를 통해 가시화한다. 쉽게 말하면, SW와 클라우드 자원에서 탐지된 위협 분석 결과를 통합해 시각 그래프로 제공하는 것이다. 

뿐만 아니라 이 엔진은 인공지능(AI) 기술을 적용해 사내 취약점 중 우선순위를 정의한다. 탐지된 취약점의 위험도를 자동으로 파악해 가장 중요한 이슈를 우선적으로 관리자가 대응할 수 있도록 한다.

이와 함께 체크막스는 다양한 코드스캔 엔진을 하나로 통합한 '체크막스 원' 플랫폼도 함께 공개했다. 이는 정적, 동적, 오픈소스 스캔 등 기능별로 다양한 엔진을 모아 단일 플랫폼에서 제공한다. 체크막스 엔진이 아닌 다른 엔진과도 호환이 가능하다. 앞선 '퓨전' 엔진도 이 플랫폼 위에서 구동된다. 특히 서비스형 소프트웨어(SaaS) 기반으로 제작돼 아마존웹서비스(AWS) 등 클라우드 상에서 활용할 수 있는 점도 특징이다.

로만 CRO는 "이같은 플랫폼을 한국기업들이 활용한다면 실질적인 시간 단축 뿐만 아니라, 기업 브랜드 이미지에도 긍정적 영향을 미칠 것"이라며 "나아가 글로벌 시장에서도 큰 가치를 제공할 것"이라고 강조했다.

파트너사들과 함께 국내시장 공략 나선다

이 날 체크막스는 한국시장 공략을 위해 국내에 다양한 파트너사들을 두고 협력할 여지가 크다고 밝히기도 했다. 새롭게 출시한 플랫폼 및 기술을 국내 기업들에 제공하고, 이를 관리하기 위해 협력하겠다는 의지를 표명한 것이다.

로만 CRO는 "체크막스 기술을 담은 '체크막스 퓨전'을 국내 시장에 공급해 디지털 시대에 최적화된 애플리케이션 보안관리 체계 구축을 돕겠다"며 "업계에서 다양한 전략과 노하우를 쌓아온 만큼 국내 고객 니즈에 최적화된 서비스를 지원할 것"이라고 강조했다.

또 그는 "국내 시장에서 실제로 이같은 기술이 활용되게 하기 위해서 한국 파트너사들을 통한 운영이 가능할 것으로 보인다"며 "고객 입장에서 플랫폼을 구매한 후 서비스를 제대로 이용하기 위해서는 기업 문화에 익숙한 로컬 파트너사들과 새로운 비즈니스 기회를 만들어갈 수 있다"고 설명했다.

김가은 기자 7rsilver@techm.kr