UPDATED. 2024-03-28 16:55 (목)
"악성 오픈소스 패키지 증가… SW 개발 시 사전에 걸러내야"
"악성 오픈소스 패키지 증가… SW 개발 시 사전에 걸러내야"
  • 박광하 기자
  • 승인 2022.06.01 14:56
  • 댓글 0
이 기사를 공유합니다

개발 과정서 악성코드 유입
공격 기법 다양화·지능화 추세

'체크막스 공급망 보안'
'스패로우 SAST/SAQT'
취약점 자동 점검 솔루션 눈길

[정보통신신문=박광하기자]

소프트웨어(SW) 산업계에서는 SW 제작 시 오픈소스 패키지를 활용하는 사례가 늘고 있다. 그런데, 최근 악성 코드가 삽입된 오픈소스 패키지가 지속적으로 발견되고 있다. 만약 SW 개발자가 악성코드가 포함된 오픈소스를 걸러내지 못하고 이를 SW에 포함할 경우에는 중대한 피해를 야기할 수 있다.

SW 산업계에서는 오픈소스 패키지에 대해 '기본적으로 신뢰하지 않는다'는 제로 트러스트(Zero Trust) 개념으로 접근해야 한다는 목소리가 대두하고 있다.

개발자 중심 애플리케이션 보안 테스팅(AST, Application Security Testing) 솔루션 전문 기업 체크막스(Checkmarx, 한국지사장 송대근)는 최근 수백개에 달하는 악성 오픈소스 패키지를 파악, 이들 패키지를 크게 의존성 혼동(Dependency Confusion), 타이포스쿼팅(Typosquatting), 체인잭킹(Chainjacking) 등 세가지 유형으로 구분했다.

이희조 고려대 컴퓨터학과 교수에 따르면, 의존성 혼돈 공격은 정상 소프트웨어의 이름과 동일한 이름의 새로운 버전 소프트웨어를 공급망에서 배포하도록 하는 공격 수법이다. 자동화된 빌드 도구들이 새로운 버전을 다운로드하거나 자동 업데이트를 하게 되므로, 이로 인해 악성코드가 신속하게 확산될 수 있다. 이희조 교수는 보안 전문가 알렉스 버산(Alex Birsan)이 지난해 2월 기업이 개별적으로 사용하는 패키지 이름과 동일한 이름을 공개 패키지 관리자 사이트에 등록하는 방식으로 페이팔(Paypal), 애플(Apple), 쇼피파이(Shopify), 넷플릭스(Netflix), 우버(Uber), 옐프(Yelp) 등 35곳이 넘는 기업을 손쉽게 공격이 가능함을 보였다고 설명했다.

타이포스쿼팅 공격은 정상 패키지와 유사한 이름의 패키지를 등록, 사용자가 악성 패키지를 다운로드해 사용하게 하는 경우를 말한다. 예를 들어 'abcd_types'라는 이름의 정상 패키지와 비슷한 이름을 가진 'abcd-types'라는 악성 패키지가 타이포스쿼팅 공격에 해당한다. 이희조 교수는 2020년 RubyGems 패키지 매니저에 700개의 악성 타이포스쿼팅 패키지가 발견되기도 했다고 전했다.

체인잭킹 공격은 오픈소스 패키지 배포자의 계정 정보를 탈취한 다음 악성 코드를 배포하는 수법이다. 패키지 배포자가 계정 정보를 변경할 때를 노려 해커가 배포자의 기존 계정 정보를 자신의 것으로 만드는 것이다. 오픈소스 배포 커뮤니티의 중복되지 않는 닉네임 등이 체인잭킹의 대상이 되곤 한다.

이처럼 다양한 공격 기법이 등장하면서 개발자가 SW 개발 시 오픈소스 패키지에 대해 한층 주의해야 한다.

하지만, 오픈소스 패키지 업데이트가 수시로 일어나고 있는 만큼, 개발자가 이들 패키지에 대해 신뢰성을 직접 검증한다는 것은 쉬운 일이 아니다.

이에 따라, 오픈소스 패키지를 이용한 SW 개발 과정에서 사이버보안을 확보할 수 있도록 돕는 '정적 어플리케이션 보안 분석 도구(SAST, Static Application Security Testing)' 솔루션이 다수의 기업에 의해 개발, 공급되고 있다.

SAST 솔루션으로는 '체크막스 공급망 보안(Checkmarx Supply Chain Security)'이 세계 각국에서 사용되고 있다.

체크박스는 최근 기자간담회를 열고 자사의 체크막스 공급망 보안 솔루션에 대해 소개했다.
체크박스는 최근 기자간담회를 열고 자사의 체크막스 공급망 보안 솔루션에 대해 소개했다.

체크막스는 최근 기자간담회를 열고 오픈소스 환경에서 SW 개발 시 발생할 수 있는 보안 위협을 해결하기 위한 방안으로 체크막스 공급망 보안 솔루션을 제시했다.

자키 조렌슈타인(Tzachi Zorenshtain) 체크막스 공급망 보안 총괄은 체크막스가 모던 애플리케이션 개발 라이프사이클에 걸친 잠재적 악성 오픈소스 패키지를 파악할 수 있는 체크막스 공급망 보안 솔루션을 출시했다며 이를 통해 문제가 될 수 있는 보안 위협을 예방할 수 있다고 강조했다.

체크막스 공급망 보안 솔루션은 체크막스 SW 구성 분석(SCA, Checkmarx Software Composition Analysis)과 함께 작동해 오픈소스 프로젝트의 건전성과 보안 이상 징후를 파악한다. '기여자 평판(contributor reputation)'을 분석하며 '디토네이션 챔버(detonation chamber)' 내 분석을 통해 패키지 행태를 분석하고 직접 정보를 확보한다. 이 같은 기능으로 SW 공급망 전 영역에 걸친 분석과 인사이트를 통해 기업 애플리케이션 보안의 중대한 공백을 메울 수 있다.

특히 체크막스 공급망 보안 솔루션을 통해 기업들은 △패키지의 건전성과 SW 자재명세서(SBOM) △악성 패키지 탐지 △기여자 평판 △행위 분석 △지속적 결과 처리 등의 필수적 역량을 이용해서 오픈소스 SW를 안전하게 활용, 모던 애플리케이션 개발을 가속화할 수 있다.

[자료=스패로우]
[자료=스패로우]

국내에서는 스패로우(대표 장일수)의 'Sparrow SAST/SAQT' 제품이 다수의 공급 실적을 확보하고 있다.

스패로우의 Sparrow SAST/SAQT는 SW 소스코드에 존재하는 보안 취약점과 품질 결함 분석 기능을 제공한다. CC인증과 GS인증을 획득해 제품의 우수성과 신뢰성을 인정받았다.

Sparrow SAST/SAQT는 분석한 소스코드 취약점의 발생 위치를 정확히 알려주는 동시에 발생 원인을 추적할 수 있는 네비게이터를 제공한다.

특히, 발견된 취약점에 대한 상세 설명과 함께 수정 예시와 해결방법을 제공해 빠르게 취약점을 조치할 수 있다.

이클립스(Eclipse), 인텔리제이(IntelliJ), 비주얼 스튜디오(Visual Studio) 등 다양한 통합개발환경(IDE) 툴의 플러그인 형태로도 제공돼 사용 편의성이 뛰어나다.

Sparrow SAST/SAQT v5.6E는 지속된 업데이트를 거쳐 현재 자바(Java), C/C++, 파이썬(Python), 코틀린(Kotlin) 등 20개 이상의 주요 프로그래밍 언어와 전자정부 표준 프레임워크, 스프링 프레임워크(Spring Framework)등 10개 이상의 프레임워크를 지원한다.

또한, 지난해 개정된 행정안전부 SW 보안약점 진단 가이드 49개 항목을 비롯해 방위사업청 무기체계 SW 코딩규칙, 국정원 취약점, CWE 등 정부 및 공공기관에서 정보시스템 구축시 준수해야 하는 진단 기준을 제공하고 있어 국내외 주요 컴플라이언스를 기준으로 보안 약점을 점검할 수 있다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 함정기
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2024-03-28
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2024 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
한국인터넷신문협회 인터넷신문위원회 abc협회 인증 ND소프트