4년전 미국 3대 신용평가사 에퀴팩스(Equifax)는 '아파치 스트럿츠'란 오픈소스 프로그램을 쓰다 해킹을 당해 존속이 위태로워졌다. 1만4000여명의 개인정보를 유출당해 당국 조사와 소송에 시달린 뒤 7억달러(약 8000억원)의 피해보상·벌금을 물게 돼서다. 기업들에게 '오픈소스의 보안 취약점은 곧 경영 리스크'라는 인식이 자리잡게 된 계기였다. 최근 완성된 프로그램 파일(바이너리)에서 오픈소스 취약점을 찾아내는 기술을 보유한 한국 기업 '인사이너리(Insignary)'가 북미·유럽·아시아 시장에서 주목받고 있다. 10일 강태진 인사이너리 대표와 만나 업계 동향과 사업 전략을 들었다. 다음은 일문일답.
Q. 어떤 기술에 주력하나.
"오픈소스가 사용된 프로그램의 완성된 파일에서 오픈소스 취약점을 찾아 주는 '바이너리 스캐닝(binary scanning)' 솔루션을 '클래리티'라는 이름으로 제공하고 있다. 클래리티는 소스코드 없이 바이너리 취약점을 찾을 수 없었던 전통적인 오픈소스 취약점 점검도구와 구별된다. 클라우드 환경에서 널리 활용되는 컨테이너 이미지 파일이나 모바일 앱에 포함된 오픈소스의 취약점까지 찾아 준다. 인사이너리의 고유 기술 '딥 핑거프린팅(deep fingerprinting)'을 기반으로 한다."
Q. 활용범위가 좁지 않나.
"클라우드 확산 이후 컨테이너 기술 활용이 많아지고 있는 요즘 시대에 더욱 필수다. 컨테이너는 클라우드 환경에서 급격한 수요 확장과 감축에 대응할 수 있도록 많이 쓰이는 서버 기능을 이미지 파일로 만들어놓은 것이다. 이 역시 바이너리 파일이다. 컨테이너 이미지는 필요시 클라우드에서 한꺼번에 수백 수천개로 복제돼 동작한다. 컨테이너 이미지를 만들 때 있었던 취약점은 동작할 때 수백, 수천개 서버에 동일하게 나타나게 된다. 과거 없던 취약점이 나중에 발견될 수도 있다."
Q. 클래리티만의 강점은.
"폭넓은 활용범위다. 소스코드를 컴파일한 바이너리 파일뿐아니라, 클라우드 배포용으로 만들어진 컨테이너 이미지 속의 자바스크립트, 파이썬 등의 스크립트 코드 취약점을 점검하는 기능도 제공한다. 프로그래밍 언어 '고(Go)'로 작성된 코드 스캔 기능도 작년 하반기부터 지원하기 시작했다. 이름이 S로 시작하는 한 미국 스타트업과 제휴를 추진 중인데, 성사될 경우 더욱 차별화될 수 있다. 발견된 취약점을 보안 전문지식이 없는 개발자들이 더 쉽게 대처할 수 있게 될 거다."
Q. 관심을 가져야 할 이유는.
"경영 관점에서 보안은 일종의 보험이다. 보안시스템에 투자하는 건 정상적으로 사업을 영위하기 위한 필수적인 행위다. 에퀴팩스 사건처럼 큰 해킹사고가 터지면, CEO를 비롯한 최고책임자들은 다 잘리고 회사에 대규모 소송까지 걸린다. 기업에 쓰인 오픈소스의 취약점이 클래리티같은 툴로 관리가 안 되면 그런 사고가 언제든 터질 수 있다. 혹시 기업의 보안이 뚫리더라도 경영진이 평상시에 그런 노력을 기울였을 때와 그러지 않았을 때 실제로 지는 책임에는 차이가 생긴다."
Q. 도입사례를 알고 싶다.
"미국에 본사를 둔 세계 최대 네트워크장비 회사 C사가 2019년부터 3년째 우리 제품을 쓰고 있다. C사는 우리 경쟁사 제품도 쓰는데, 요구사항 지원이 미흡한 경쟁사쪽에 갖고 있던 불만을 해소하기 위해 (그 대안으로) 우리가 성장할 수 있도록 돕고 있다. 독일의 대형 산업장비회사 S사도 작년말께 2년차 사용계약을 맺었다. 둘 다 밝힐 수는 없지만 업계에서 누구나 들으면 알만한 이름있는 회사들이다. 2년차 사용 고객들이 늘어나고 있어, 앞으로 지속적인 매출 성장을 기대한다."
Q. 중국에서는 어떤가.
"알만한 중국 회사들이 모두 도입 테스트 중이다. 미국이 화웨이를 겨냥해 무역제재에 나선 뒤 많은 중국 기업들이 그간 사용하던 미국 제품과 기술을 걷어내고 싶어한다. 그간 쓰던 미국산 하드웨어·소프트웨어의 대체재를 찾고 있는데, 프로그램의 소스코드와 바이너리 파일에서 보안취약점을 찾고 관리하는 툴도 그 중 하나다. 이미 중국 정부 산하 기술평가조직이 2년차 고객이 됐고, 최대 보안카메라 기업 H사는 작년 3분기 계약했다. 올해 중국 매출이 상당할 걸로 기대한다."
Q. 아시아지역 고객도 있나.
"국내 인터넷은행 중 한 곳이 고객사다. 또 작년에 국방부 한 기관의 소스코드와 바이너리 취약점 점검 시스템 구축 사업 계약을 따낸 업체를 통해 우리 제품이 납품됐다. 군에 프로그램을 납품할 방산기업들도 역시 구매할 것으로 보고 있다. 대만에선 현지 리셀러가 대형 PC·통신장비 업체 A사를 고객으로 확보했고 일본에선 계약조건을 최종 협의 중이다. 모두 우리 솔루션을 통해, 조직에 도입된 프로그램이 무슨 오픈소스를 썼는지, 어떤 라이선스·취약점 문제가 있는지 알게 될거다."
Q. 올해 사업전략은.
"오픈소스 보안과 관리에 대한 기업의 관심과 수요가 급증하고 있다. 이를 통해 더 개선된 클래리티 제품 공급을 크게 확대할 수 있을 것으로 예상한다. 보안솔루션 사업 특성상 기술 우위를 입증한 제품에 수요가 몰릴 것으로 본다. 현재 한국 외에 중국, 대만, 일본 주요기업과 공급계약을 완료해 레퍼런스 확보가 이뤄졌다. 북미와 유럽에 대규모 고객을 확보한 보안전문업체와 리셀러 계약 조건을 협의하고 있는데, 계약을 체결하면 보안업계 대형고객 확보를 가속화할 것이다."
Q. 시장을 어떻게 전망하나.
"작년말 미국 정부기관 대상으로 대규모 해킹이 이뤄졌는데 해커가 솔라윈즈(SolarWinds) 인프라 관리도구 취약점을 파고든 걸로 알려져 있다. (당시 악성코드 감염 기업중 하나인) 마이크로소프트같은 기업조차 그 프로그램에 취약점이 있는지 다 알지 못했다. 이렇게 외부에서 공급된 제3자(3rd party) 프로그램은 그 특성과 허점을 최종 사용자가 알기 어렵다. 이제 모든 기업·기관이 제3자 프로그램을 검증해 오픈소스가 사용됐는지, 그게 어느 오픈소스인지를 알 수 있어야 대처할 수 있다."
Q. 어떤 기술에 주력하나.
"오픈소스가 사용된 프로그램의 완성된 파일에서 오픈소스 취약점을 찾아 주는 '바이너리 스캐닝(binary scanning)' 솔루션을 '클래리티'라는 이름으로 제공하고 있다. 클래리티는 소스코드 없이 바이너리 취약점을 찾을 수 없었던 전통적인 오픈소스 취약점 점검도구와 구별된다. 클라우드 환경에서 널리 활용되는 컨테이너 이미지 파일이나 모바일 앱에 포함된 오픈소스의 취약점까지 찾아 준다. 인사이너리의 고유 기술 '딥 핑거프린팅(deep fingerprinting)'을 기반으로 한다."
Q. 활용범위가 좁지 않나.
Q. 클래리티만의 강점은.
"폭넓은 활용범위다. 소스코드를 컴파일한 바이너리 파일뿐아니라, 클라우드 배포용으로 만들어진 컨테이너 이미지 속의 자바스크립트, 파이썬 등의 스크립트 코드 취약점을 점검하는 기능도 제공한다. 프로그래밍 언어 '고(Go)'로 작성된 코드 스캔 기능도 작년 하반기부터 지원하기 시작했다. 이름이 S로 시작하는 한 미국 스타트업과 제휴를 추진 중인데, 성사될 경우 더욱 차별화될 수 있다. 발견된 취약점을 보안 전문지식이 없는 개발자들이 더 쉽게 대처할 수 있게 될 거다."
Q. 관심을 가져야 할 이유는.
"경영 관점에서 보안은 일종의 보험이다. 보안시스템에 투자하는 건 정상적으로 사업을 영위하기 위한 필수적인 행위다. 에퀴팩스 사건처럼 큰 해킹사고가 터지면, CEO를 비롯한 최고책임자들은 다 잘리고 회사에 대규모 소송까지 걸린다. 기업에 쓰인 오픈소스의 취약점이 클래리티같은 툴로 관리가 안 되면 그런 사고가 언제든 터질 수 있다. 혹시 기업의 보안이 뚫리더라도 경영진이 평상시에 그런 노력을 기울였을 때와 그러지 않았을 때 실제로 지는 책임에는 차이가 생긴다."
Q. 도입사례를 알고 싶다.
"미국에 본사를 둔 세계 최대 네트워크장비 회사 C사가 2019년부터 3년째 우리 제품을 쓰고 있다. C사는 우리 경쟁사 제품도 쓰는데, 요구사항 지원이 미흡한 경쟁사쪽에 갖고 있던 불만을 해소하기 위해 (그 대안으로) 우리가 성장할 수 있도록 돕고 있다. 독일의 대형 산업장비회사 S사도 작년말께 2년차 사용계약을 맺었다. 둘 다 밝힐 수는 없지만 업계에서 누구나 들으면 알만한 이름있는 회사들이다. 2년차 사용 고객들이 늘어나고 있어, 앞으로 지속적인 매출 성장을 기대한다."
Q. 중국에서는 어떤가.
"알만한 중국 회사들이 모두 도입 테스트 중이다. 미국이 화웨이를 겨냥해 무역제재에 나선 뒤 많은 중국 기업들이 그간 사용하던 미국 제품과 기술을 걷어내고 싶어한다. 그간 쓰던 미국산 하드웨어·소프트웨어의 대체재를 찾고 있는데, 프로그램의 소스코드와 바이너리 파일에서 보안취약점을 찾고 관리하는 툴도 그 중 하나다. 이미 중국 정부 산하 기술평가조직이 2년차 고객이 됐고, 최대 보안카메라 기업 H사는 작년 3분기 계약했다. 올해 중국 매출이 상당할 걸로 기대한다."
Q. 아시아지역 고객도 있나.
"국내 인터넷은행 중 한 곳이 고객사다. 또 작년에 국방부 한 기관의 소스코드와 바이너리 취약점 점검 시스템 구축 사업 계약을 따낸 업체를 통해 우리 제품이 납품됐다. 군에 프로그램을 납품할 방산기업들도 역시 구매할 것으로 보고 있다. 대만에선 현지 리셀러가 대형 PC·통신장비 업체 A사를 고객으로 확보했고 일본에선 계약조건을 최종 협의 중이다. 모두 우리 솔루션을 통해, 조직에 도입된 프로그램이 무슨 오픈소스를 썼는지, 어떤 라이선스·취약점 문제가 있는지 알게 될거다."
Q. 올해 사업전략은.
"오픈소스 보안과 관리에 대한 기업의 관심과 수요가 급증하고 있다. 이를 통해 더 개선된 클래리티 제품 공급을 크게 확대할 수 있을 것으로 예상한다. 보안솔루션 사업 특성상 기술 우위를 입증한 제품에 수요가 몰릴 것으로 본다. 현재 한국 외에 중국, 대만, 일본 주요기업과 공급계약을 완료해 레퍼런스 확보가 이뤄졌다. 북미와 유럽에 대규모 고객을 확보한 보안전문업체와 리셀러 계약 조건을 협의하고 있는데, 계약을 체결하면 보안업계 대형고객 확보를 가속화할 것이다."
Q. 시장을 어떻게 전망하나.
"작년말 미국 정부기관 대상으로 대규모 해킹이 이뤄졌는데 해커가 솔라윈즈(SolarWinds) 인프라 관리도구 취약점을 파고든 걸로 알려져 있다. (당시 악성코드 감염 기업중 하나인) 마이크로소프트같은 기업조차 그 프로그램에 취약점이 있는지 다 알지 못했다. 이렇게 외부에서 공급된 제3자(3rd party) 프로그램은 그 특성과 허점을 최종 사용자가 알기 어렵다. 이제 모든 기업·기관이 제3자 프로그램을 검증해 오픈소스가 사용됐는지, 그게 어느 오픈소스인지를 알 수 있어야 대처할 수 있다."