체크막스 '한국은 오픈소스 보안 사각지대…사고 나면 재앙 수준'

"기업들은 시장 변화 속도에 맞춰 제품과 서비스를 빠르게 개발하기 위한 수단으로 '오픈소스'를 활용할 수 밖에 없다. 이로 인해 오픈소스 보안이 기업이 당면한 가장 큰 문제로 떠오르고 있다."

송대근 체크막스코리아 지사장은 26일 서울 강남구 인터컨티넨탈서울코엑스 열린 기자간담회를 통해 이같이 말하며 오픈소스 소프트웨어(SW) 공급망 보안에 대한 중요성을 강조했다.

오픈소스의 양면

최근 기업들은 변화하는 시장 요구에 대응해 제품과 서비스를 빠르게 출시하기 위한 수단으로 오픈소스를 점점 더 많이 활용하고 있다. 오늘날 비즈니스를 구성하는 애플리케이션(앱)은 90% 이상이 오픈소스 코드로 이뤄져있다. 공개돼 있는 소스코드를 활용해 개발과정을 단축하고, 이를 통해 시간과 비용을 절감하는 것이다. 

자키 보렌슈타인(Tzachi Zorenshtain) 체크막스 공급망 보안 총괄은 이같은 오픈소스 활용 방식이 보안성을 고려하지 않는다고 지적했다. 그는 "오픈소스의 경우 하나의 패키지 안에 수백개의 다른 패키지들이 포함돼있는 형태"라며 "이는 신뢰할 수 있는 개발자가 제작한 패키지에도 악성 코드가 포함돼있을 수 있다는 점을 의미한다"고 설명했다.

이어 "헤아릴 수 없을 만큼 많은 오픈소스 패키지가 개발되고 있지만 개발자가 자신이 사용하는 오픈소스의 안정성을 검증하는 것은 불가능하다"며 "대부분의 개발자가 누군가 대신 위험성을 분석하고 있을 것이라 믿으며 인기가 많은 오픈소스를 사용하고 있다"고 지적했다.

실제로 지난해 자키 총괄이 이끄는 분석팀은 러시아 범죄 포럼에서 유명 오픈소스 개발자의 계정을 판매한다는 공고를 찾아냈다. 그로부터 2주 후 해당 개발자는 누군가 계정을 탈취해 악성 패키지를 공급했다고 밝혔다. 체크막스 분석에 따르면 해당 패키지에는 계정 비밀번호를 탈취하는 '패스워드 스틸러', 가상자산을 탈취하는 '크립토마이너' 코드가 포함돼있었다. 

자키 총괄은 "이같은 패키지를 사용한 개발자 뿐만 아니라, 앱 사용자들도 피해를 입을 수 있다"며 "오픈소스 패키지를 노리는 공격은 지속 증가 중"이라고 설명했다.

월 100만건 이상의 오픈소스 패키지 분석

체크막스는 이같은 문제점을 해결하기 위한 방안으로 '체크막스 공급망 보안 솔루션'을 제시했다. 이 솔루션은 '체크막스 소프트웨어 구성 분석(SCA)'와 함께 작동해 오픈소스 패키지를 분석한다. 이를 통해 ▲보안 이상 징후 탐지 ▲개발자 평판 분석 ▲오픈소스 패키지 행태 분석 등을 수행하고 위협 인텔리전스(TI)를 확보한다. 

현재 이 회사는 매월 100만건에 넘은 오픈소스 패키지를 분석하고 있으며, 도출된 정보를 'red-lili.info' 웹사이트에 공개하고 있다. 개발자에게 데이터를 제공해 위험성을 직접 알리기 위한 목적이라고 체크막스 측은 설명했다.

향후 체크막스는 한국에 특화된 위협 TI를 개발하고, 기업·공공기관과 협업하는 등 국내 사업을 확장한다는 계획이다.

애드리안 옹(Adrian Ong) 체크막스 북아시아 영업총괄 부사장은 "오픈소스 위험은 유명 글로벌 브랜드가 많은 한국과 같은 나라에 특히 위험하다"며 "한국 개발자가 잘못된 오픈소스 패키지를 사용하면 전 세계에 공급된 자율주행차가 멈추거나 심장 보조장치 등 의료기술이 멈추는 등 영향은 재난 수준일 것"이라고 말했다. 또 그는 "이스라엘의 경우 총리실과, 미국에서는 바이든 행정부 보안 담당과 협력하는 것처럼 한국에서 이런 체계를 가져갈 수 있을 것"이라고 덧붙였다.

김가은 기자 7rsilver@techm.kr