[아이뉴스24 김혜경 기자] "공격자는 커뮤니티에서 유명한 개발자 이름을 사칭해 악성 오픈소스 패키지를 배포하거나 자주 내려받는 패키지에 멀웨어를 심는 등의 기법을 쓰고 있다. 오픈소스 생태계의 '신뢰성'을 이용해 공격한다는 점이 특징이다. 최근 오픈소스 환경 내 개발 과정에서 사이버보안 위협은 갈수록 커지고 있다."
26일 인터컨티넨탈서울코엑스에서 열린 체크막스 기자간담회에서 자키 조렌슈타인(Tzachi Zorenshtain) 체크막스 공급망 보안 총괄은 최근 오픈소스 커뮤니티에서 발생했던 사건들에 대해 언급하며 이 같이 말했다.
![26일 인터컨티넨탈서울코엑스에서 열린 체크막스 기자간담회에서 자키 조렌슈타인(Tzachi Zorenshtain) 체크막스 공급망 보안 총괄이 오픈소스를 겨냥한 사이버 공격에 대해 설명하고 있다. [사진=김혜경 기자]](https://image.inews24.com/v1/c2f5e323c926bd.jpg)
체크막스는 이스라엘 보안기업으로 애플리케이션 보안 테스팅(Application Security Testing, AST) 솔루션 사업을 영위하고 있다. 한국지사는 지난해 10월 설립됐다.
조렌슈타인 총괄은 "최근 수백 개에 달하는 악성 오픈소스 패키지를 파악했다"며 "의존성 혼동(dependency confusion)과 타이포스쿼팅(typosquatting), 체인잭킹(chainjacking) 등 크게 세 가지 유형으로 분류할 수 있다"고 설명했다.
그는 "일반적으로 많은 사람이 사용한 패키지를 쓰면 안전하다는 인식이 있다"며 "해당 패키지가 정말 안전한지 본인이 확인하지 않더라도 다른 사람이 이미 검증했을 것이라 여기고 다운받다가 사고가 발생한다"고 강조했다.
오픈소스 소프트웨어(SW)란 프로그래밍 설계도인 소스코드가 공개된 SW를 뜻한다. 누구나 자유롭게 배포‧수정‧복제‧사용이 가능하며, 복수의 개발자들은 '깃허브(GitHub)' 등 오픈소스 커뮤니티를 통해 SW를 개발‧개선한다.
집단지성으로 문제를 해결한다는 장점도 있지만 신뢰와 공개성을 전제로 한 생태계 특성상 보안 문제가 단점으로 대두된 바 있다. 특히 최근 사이버 공격 기법이 지능화되면서 오픈소스 보안 취약점 해결도 시급해진 상황이다.
조렌슈타인 총괄은 누구나 악성 오픈소스 패키지를 제작할 수 있다고 설명했다. 그는 "이메일 주소와 패키지 이름, 해당 패키지가 어떤 오픈소스 프로젝트와 관련 있는지 등을 기재하면 악성 오픈소스 패키지가 생성된다"며 "특히 유명한 프로젝트 이름을 사용할수록 신뢰도는 더 높아진다"고 강조했다.
조렌슈타인 총괄은 '체크막스 공급망 보안' 솔루션으로 잠재적 악성 오픈소스 패키지를 파악할 수 있다고 설명했다. 해당 솔루션은 오픈소스 프로젝트의 건전성과 보안 이상 징후를 파악하고 기여자 평판, '디토네이션 챔버(detonation chamber)' 내 분석을 통해 패키지 행태를 분석한다. 공급망 전 영역에 걸친 분석을 통해 기업 애플리케이션 보안의 공백을 메울 수 있다는 것이 그의 설명이다.
송대근 체크막스코리아 지사장은 이날 간담회에서 안전한 SW 개발을 위한 해결책으로 ▲Build‧CI 솔루션을 통한 자동화된 보안 취약점 점검 절차 확립 ▲오픈소스 취약점 관리 ▲개발자 보안 역량 등을 제시했다. 송 지사장은 "데브섹옵스(DevSecOps)를 도입하기 위해서는 SW 개발 과정에 어떻게 보안을 내재화할 것인지가 관건"이라고 말했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기