“바이든 정부의 행정명령 시작, 강화되는 소프트웨어 보안 정책이 시행된다.”
역대 최악의 해킹사고로 평가되는 솔라윈즈(SolarWinds) 해킹 사건에 이어 미국 최대 송유관 운영업체인 콜로니얼 파이프라인(Colonial Pipeline)까지 랜섬웨어 공격을 받은 것으로 드러나면서 미국 바이든 정부는 사이버 보안 강화를 위한 행정명령을 발표하기에 이르렀다.
바이든 정부가 서명한 행정명령에는 사이버 보안사고 발생 시 대응절차에 대한 표준화 지침 수립, 소프트웨어(SW) 공급망 보안 향상 및 소프트웨어 보안 강화를 위한 상세한 규정이 명시되어 있있다.
특히 기본적인 보안 수준을 충족하지 못하는 소프트웨어를 미국 연방 기관 내 유통할 수 없다는 내용을 규정하고 있어 각 소프트웨어 사업자의 보안 관리 체계가 철저해질 것으로 예상된다.
오픈소스 관리, 소프트웨어 보안 강화의 필수요소
이처럼 소프트웨어 보안을 지키기 위한 각종 규제가 강화되는 상황에서 보안위협으로부터 안전한 소프트웨어 개발 및 사용을 위해서는 상용 소프트웨어의 구성 비중이 높은 오픈소스 소프트웨어에 대한 점검이 선제적으로 이루어져야 한다.
그러나 실제 소프트웨어 개발자 조차도 어떤 오픈소스가 제품 개발에 사용되고 있는 지 파악하지 못하는 경우가 대부분이고 실질적으로 오픈소스를 체계적으로 관리하고 있는 기업은 소수에 불과하다.
아울러 오픈소스를 관리하고 있는 기업이라고 하더라도 수동 관리에 의존하고 있어 미탐이나 오탐 없이 안정적으로 오픈소스를 점검하고 이를 토대로 효과적인 소프트웨어 보안을 강화하는 것은 쉽지 않은 실정이다.
오픈소스를 빠르고 정확하게 점검하고 소프트웨어 보안을 철저하게 관리하기 위해서는 자동화 관리 도구를 도입하여 제품 개발에 사용된 오픈소스 내역을 빠르고 정확하게 탐지하는 것이 중요하다.
이와 더불어 클라우드 환경 기반의 실시간 점검 서비스를 제공하는 ‘서비스형 소프트웨어(구독형 소프트웨어, SaaS)’ 모델을 통해 보안 취약점을 즉각적으로 관리하는 것이 바람직하다.
왜 SaaS 모델이어야 하는가?
SaaS는 시스템이나 서버에 직접 소프트웨어를 설치하여 사용하는 온프레미스(On-Premise) 모델과 대비되는 개념이다. 소프트웨어를 물리적인 자산에 직접적으로 설치하지 않고 클라우드를 통해 서비스 형태로 제공하는 것을 의미한다.
소프트웨어의 이용 뿐 아니라 각종 서비스도 SaaS 모델을 통해 제공되는 사례가 증가하고 있는 가운데, SaaS 환경에서 오픈소스를 점검할 경우 온프레미스 모델을 통해서는 수행할 수 없는 다양한 장점을 확인할 수 있어 오픈소스 점검을 위한 SaaS 모델이 주목받고 있다.
다음 글에서는 오픈소스 보안 취약점 점검 툴인 ‘화이트소스(WhiteSource)’를 활용한 이점에 대해 알아보겠다.
글 : 김 선 태 / 보안솔루션 사업팀 / 쿤텍
관련기사
- 하시코프, “멀티클라우드 환경, 복잡성 제거한 자동화 해법 제시할 것”
- GCP, 홈플러스 ‘고객데이터플랫폼(CDP)’ 구축 프로젝트 완료
- 쿤텍, 오픈소스 점검 서비스 'NHN 클라우드 마켓플레이스' 입점
- “개발자와 ICT역량 공유”…SKT, 개발자 커뮤니티 ‘데보션’ 오픈
- 알리바바, 포스트그레SQL용 폴라DB 오픈소스로 공개
- 네이버클라우드, 록키 리눅스 핵심 파트너 선정…오픈소스 생태계 강화
- 큐브리드, 오픈소스 DBMS ‘큐브리드(CUBRID)’ 개발자 가이드 배포
- IT솔루션 구매방식의 변화…“디지털 시대의 IT, 이제 쇼핑하세요”
- 美 크루즈 운영사 카니발, 고객정보 유출 공지
- KT, 클라우드 보안 길라잡이 ‘클라우드 보안 백서’ 발간