디지털 세계에 뻗친 공급망 위기…"SW에 감춰진 악성코드 간파하라"

로만 투마 체크막스 CRO [사진=체크막스]

완성차 제조사가 내놓는 차량들은 구매자들이 일일이 알 수 없는 수많은 협력사를 통해 조달된 부품으로 생산된다. 유명한 식당에서 조리된 음식을 먹는 사람들은 그 식자재가 어디에서 공급됐는지 신경 쓰지 않는다. 그런데 사람들이 어떤 부품과 식자재의 출처 같은 '공급망'에 직접적인 관심을 갖는 경우가 있다. 공급망에 문제가 생겨서 더 이상 그 기업의 이름만 듣고 안심할 수 없게 됐을 때다.

이처럼 기업이 제품과 서비스의 품질과 안전성을 보장하는 '공급망 보안(supply chain security)'은 브랜드 가치와 신뢰도에 직결돼 있다. 공급망 보안의 중요성은 정보기술(IT)·소프트웨어(SW)로 구현되는 디지털 세계에서 한층 더 강조된다. 코로나19 사태 이후 전 세계 기업과 개인의 디지털 의존도가 높아진 만큼, SW뿐 아니라 SW를 제작하고 배포하는 공급망 보안 문제의 파급 효과도 더욱 커질 전망이다.

2020년 대규모 IT환경 관리용 SW의 최신 버전에 악성코드가 포함돼 미국의 주요 정부 부처부터 빅테크 기업까지 수많은 기관·기업이 감염 피해를 당한 '솔라윈즈' 사태가 발생했다. 2021년 또 다른 IT관리 SW제품의 취약점이 전 세계 랜섬웨어 유포에 악용된 '카세야' 사태도 벌어졌다. 지난 5월에는 npm 저장소에서 10만개의 계정이 탈취됐는데, 앞서 수많은 개발자가 이용하는 '깃허브'에 발생한 해킹의 영향이었다.

SW보안 전문기업 체크막스(Checkmarx)는 SW 분야에서 공급망 보안의 중요성을 강조하면서, 기업들이 디지털 전환 가속화 추세에 따라 상품·서비스 생산과 공급을 위해 의존하고 있는 SW 코드의 보안 수준을 끌어올려야 한다고 조언했다. SW제품이 처음 개발 단계부터 보안 취약점 없이 만들어졌는지 검증되고, 외부의 개인·기업 소비자에 제공되기 전에 악성코드에 감염되지 않도록 보호돼야 한다는 메시지다.

관련기사

• ​애드리안 옹 체크막스 부사장 "SW 공급망 공격 심각...개발보안 도입 필수"
• 체크막스 "오픈소스에 숨어든 해커, 공급망 보안으로 대응"

로만 투마 체크막스 최고매출책임자(CRO)는 지난 16일 국내에서 개최된 기자간담회에서 "디지털 전환이 이뤄지고 한국(기업들)이 제약, 화학, 전자, 반도체 등 업종에서 많은 가치를 창출해 전 세계 다양한 산업에 기여하고 있다"면서 "또 많은 사람들이 스마트폰, 스마트워치와 컴퓨터를 사용하는데 이 모든 것이 가능해진 근본 이유는 (디지털 인프라를 구현하는) SW 코드와 SW 개발 활동 덕분"이라고 지적했다.

그는 이어 "강력한 디지털 전환 요구 때문에, 기업에 소속된 SW 개발자는 (완전히 새로운 코드를 작성하는 대신) 업무 효율을 높이기 위해 외부의 오픈소스 라이브러리와 저장소에 존재하는 이미 작성된 코드를 가져와 컴파일하고 최종 패키지를 만들어 배포한다"면서 "내가 직접 코딩을 했던 과거에는 배포 주기가 6~12개월마다 한 번에 불과했지만, 이제 코드 배포가 매일같이 발생할 만큼 빈번하다"고 설명했다.

투마 CRO는 "(깃허브 해킹과 같은 사례 때문에) 개발자들이 사용하는 저장소의 어떤 코드든 감염돼 악의적인 목적에 동원될 수 있다"고 경고했다. 그는 "유명 기업의 SW가 연루된 보안 사고가 발생하면, 사람들은 그게 어떤 악성 SW를 포함했기 때문이라는 것은 잘 모르고 그 브랜드에서 문제가 있었다는 것만 알기 때문에 브랜드에 직접적인 타격이 생긴다"며 "SW 공급망을 잘 파악해야 하는 이유"라고 강조했다.
 

다양한 SW 개발 보안 분석 도구로 찾아낸 이상징후를 한눈 에…'체크막스 퓨전'

 

체크막스 퓨전 '토폴로지 뷰' 기능 [사진=체크막스]

체크막스는 대규모 SW 개발 조직과 인프라를 운영하는 기업이 자체적으로 포괄적인 애플리케이션 보안 수준을 파악하는 데 필요한 '애플리케이션 보안 테스팅(AST)' 분야에 집중해 왔다. 기업이 체크막스의 AST 기술을 이용하면 이미 출시된 애플리케이션 코드의 보안 취약점이 해킹에 악용되기 전에 조직 내부에서 애플리케이션에 포함된 구성요소의 기능, 보안 취약점, 상호작용 관계를 파악해 보완할 수 있다.

SW 분야의 공급망 보안이 점점 더 중요해지고 있는 반면, 정작 기업 내부의 SW 부서와 개발자들에게는 공급망 보안에 관심을 기울일 만한 여력이 없다는 게 체크막스의 진단이다. 그래서 이 회사는 SW 개발 조직의 구성원을 대신해 기업의 공급망 보안 수준을 끌어올리는 방법을 마련했다. 지난 6~9일 미국에서 개최된 세계 최대 보안 콘퍼런스 'RSA 2022'에서 '체크막스 퓨전'이란 이름으로 선보인 신제품이 그것이다.

체크막스 퓨전(Fusion)은 체크막스의 노하우를 집대성해 기업이 만드는 SW에 포함된 여러 구성요소의 상호작용, 기능, 취약점을 통합적으로 보여 준다. 이 솔루션은 코드를 스캐닝(scanning)해 SW가 개발되는 시점부터 배포되고 운영되기까지 모든 단계에 걸쳐 나타날 수 있는 보안 취약점을 서로 연결하고, 우선순위를 부여해 SW 부서가 가장 중요한 문제를 먼저 해결하거나 보완할 수 있도록 안내해 준다.

투마 CRO는 "SW를 스캐닝할 때 보통 엔진별 (보안 분석) 결과에 잡힌 코드를 찾아 하나씩 수정하는데, 여러 엔진을 사용하면 이 과정을 여러 번 반복하게 되고 이게 서너 번을 넘어가면 (조치가 필요한 요소를) 놓칠 수도 있다"면서 "체크막스 퓨전은 모든 엔진으로 스캐닝한 결과를 한 번에 전체적으로 보여줘 단편적인 조치로는 찾기 어려운 문제를 근본적으로 더 빠르게 해결할 수 있게 해 준다"고 설명했다.

과거에 기업의 SW 개발 보안 담당자는 하나의 애플리케이션에서 보안 취약점을 해소하기 위해 정적분석(SAST), SW구성요소분석(SCA), 공급망보안(SCS), API보안, 동적분석(DAST), 코드형인프라(KICS), 컨테이너보안 등 여러 별개의 SW보안 분석·검증 도구를 사용해야 했다. 각 도구를 사용해 도출된 결과를 일일이 확인하고, 각 단계의 상호작용을 알지 못한 채 조치해야 했다. 체크막스 퓨전으로 이 제약이 해소된다.

체크막스 퓨전은 국내 기자간담회에서 AST 플랫폼 제품으로 함께 소개된 '체크막스 원(One)'의 일부분이다. 체크막스 원은 체크막스 퓨전을 통해 한눈에 SW보안 분석 결과를 나타낼 수 있는 다양한 도구가 서로 연결되기 위한 기반을 제공한다. 체크막스 원은 SW 개발 부서의 구성원들이 실제 사용하는 통합개발환경(IDE)이나, 데브옵스(DevOps) 프로세스를 지원하는 '지속적 통합·배포(CI/CD)' 도구와도 연계된다.
 

로만 투마 체크막스 CRO [사진=체크막스]

투마 CRO는 체크막스 퓨전과 체크막스 원을 소개하면서 "여러 스캐닝 엔진을 사용한 결과와 데이터 간의 상관관계를 인공지능(AI)으로 분석해 총체적으로 그 의미를 나타내고 우선순위를 부여할 수 있다"면서 "또한 이 모든 것을 유연성과 경제성이 높은 클라우드 환경에서 제공할 수 있어, '클라우드 네이티브'를 추구하는 기업들이 그 이점을 이 보안 영역으로 확대할 수 있다"고 강조했다.

체크막스 원은 체크막스가 보유한 정적·동적 SW보안 분석 도구뿐 아니라 쿠버네티스 컨테이너 기반으로 구동될 수 있는 타사의 도구를 함께 활용할 수 있다. 아마존웹서비스(AWS) 같은 퍼블릭 클라우드나 기업의 프라이빗 클라우드에서 구동될 수 있다. 체크막스는 향후 이 플랫폼에 호환되는 자체 분석 도구를 추가로 출시해 제공하고, 기존 도구 역시 지속적으로 개선해 나갈 계획이다.
 

달마다 100만여개 SW 패키지 분석…실제 '나쁜 짓'하는 악성코드 특징 수집

체크막스의 SW보안 분석 도구가 기업 내에서 개발되고 있는 SW 코드에서 잠재적 보안 문제나 이상 신호를 탐지하는 과정에 이 회사의 보안 연구 조직인 '스렛 랩(Threat Lab)'의 노하우가 활용된다. 스렛 랩은 매월 100만 개에 달하는 SW 패키지의 코드를 일일이 스캐닝하면서 오픈소스 프로젝트로부터 악성코드를 찾아내기 위한 세계 최대의 저장소를 구축하고 있다.

스렛 랩은 이미 스캐닝한 SW 패키지가 새로 배포되면 다시 그 코드를 살핀다. 해당 코드를 작성한 개발자에 대한 정보도 함께 보면서 그 저장소의 관리자 계정이 도용됐는지 여부를 가늠하기도 한다. 스캐닝한 코드를 안전하게 격리된 환경에서 실행해 어떻게 동작하는지 파악하고 '태깅'으로 그 특징 정보를 입력한다. 악성 SW 패키지와 특정 사이트·개발자 간 상관관계도 파악한다.

투마 CRO는 최근 발견된 한 SW 패키지가 언뜻 정상적인 것처럼 보였지만 특정 지역에서는 컴퓨터 내부의 지리적인 정보를 인식해 시스템의 데이터를 모두 삭제하는 악성 동작을 수행하도록 만들어졌다면서 "뛰어난 해커는 흠잡을 데 없는 코드로 악성 행위를 하는 SW를 만들어낼 수 있기 때문에, 그 코드가 실제로 어떤 동작을 수행하는지 깊이 분석하지 못하면 진정한 악성코드를 찾아낼 수 없다"고 설명했다.

체크막스는 지난 2006년 설립된 이스라엘 SW보안 전문기업이다. 이후 16년간 세계 70개국에서 1400개 기업을 고객사로 확보하며 성장 중이다. 지난 2020년 4월 사모펀드 '헬먼 앤드 프리드먼(H&F)'에 11억5000만 달러(약 1조5000억원)에 인수됐다. 체크막스의 공식 웹사이트에서는 임직원 700여명이 세계 23개국에서 일한다고 소개됐지만 실제 직원 수는 최근 급증해 1000명이 넘는 것으로 알려졌다.

체크막스는 최근 국내 사업 투자를 강화하고 있다. IT서비스기업 에스엔에이를 총판으로 선정해 지난 2021년 10월 계약을 체결하고 16년간 안랩, IBM, 시스코 등에서 기업의 사이버 보안 전략을 지원해 온 송대근 지사장을 지난 2021년 11월 선임했다. 한국지사 설립 전 계열사를 통해 체크막스의 솔루션 사업을 벌였던 한글과컴퓨터그룹은 현재도 한컴인텔리전스를 통해 체크막스 리셀러 사업을 수행하고 있다.

투마 CRO는 한국 사업 현황에 대해 "올해 상반기 실적만 놓고 보면 목표치를 넘어섰고, 최근 전년 대비 두 배 수준을 나타낸 아시아 지역의 성장에 한국의 사업성과가 큰 비중을 차지했다"면서 "하반기 역시 전년 대비 두 배 이상 성장할 것으로 기대한다"고 말했다. 그는 "한국을 부차적인 지역으로 여기는 다른 SW 공급업체와 달리 우리는 전체 시장에서 한국을 (다른 나라들과) 동등하게 중시하고 있다"고 덧붙였다.