지난 글에서는 소프트웨어 보안을 지키기 위한 규제가 강화되는 상황에서 오픈소스 소프트웨어에 대한 선제적 점검의 필요성을 알아봤다. 이번 글에서는 서비스형 소프트웨어(SaaS) 기반의 오픈소스 보안 취약점 점검 툴인 ‘화이트소스(WhiteSource)’의 다양한 이점에 대해 알아본다.

이전 기고문 확인하기
☞ 오픈소스, ‘서비스형 소프트웨어(SaaS)’ 환경에서 관리해야 하는 이유 ①

온프레미스 기반의 플랫폼은 기업 내부 담당자들이 소프트웨어 뿐 아니라 서버와 같은 하드웨어까지 구매하여 구축을 진행하는 것이 일반적이기 때문에 구축 비용은 물론 설치에 소요되는 시간 등 많은 보안 비용이 소모되는 단점이 있다. 

이에 반해 SaaS 모델을 기반으로 오픈소스 점검을 수행할 경우 추가적인 서버 등 물리적인 자산의 구축 없이 소프트웨어 설치만으로 오픈소스 관리를 수행할 수 있고, 클라우드 상에 이미 오픈소스 관리와 관련된 모든 기능이 구성돼 있다.

이와 같은 이점으로 단 몇 분 안에 기존의 CI(Continuous Integration) 서버와 통합하여 ‘소프트웨어 개발-테스트-빌드’ 단계에서 소요되는 시간을 획기적으로 줄일 수 있다.

또한 정보 저장소의 개념인 리포지토리(Repository) 등과 유연하게 통합할 수 있어 즉시 오픈소스 분석 및 점검을 수행할 수 있는 것이 특징이다.

지속적인 실시간 취약점 업데이트
오픈소스는 누구나 소프트웨어 개발에 사용할 수 있도록 공개되어 있는 만큼 사이버 공격자도 쉽게 악용할 수 있어 보안 취약점을 실시간으로 점검하여 악의적인 공격이 시작되기 전에 먼저 취약점을 완화하는 것이 중요하다. 

허나 온프레미스를 통해 구축된 DB에 수동으로 보안 취약점 정보를 업데이트 하는 것은 한계가 있다. 

화이트소스는 SaaS 기반의 실시간 DB를 운영하여 지속적으로 증가하고 있는 취약점을 자동으로 DB에 업데이트하고 이를 토대로 고객에게 취약점 관련 알람을 제공하여 취약점을 악용하는 각종 보안 위협으로 인한 피해 발생을 최소화할 뿐 아니라 탐지된 취약점 완화를 위한 개선방안을 제공사여 전반적인 오픈소스 보안성을 강화할 수 있다.

총소유비용(TCO) 절감 효과
온프레미스 모델은 초기의 구축비용이 많이 소모되는 것은 물론 시스템이나 서버의 운영을 유지하기 위한 TCO 역시 많이 소모된다. 

이에 비해 SaaS 모델은 클라우드를 기반으로 솔루션 및 서비스를 제공하기 때문에 프로젝트 관리, DB 관리, 데이터의 백업 및 유지보수, 방화벽 보안 관리 등의 물리적인 관리 활동과 관련된 추가적인 비용 소모를 최소화할 수 있다.

특히 연간 구독 계획 수립을 통해 오픈소스를 점검할 수 있어 TCO 관련 비용을 분산하여 효율적으로 사용할 수 있다.

보안 및 안정성
SaaS 모델은 클라우드를 기반으로 운영되기 때문에 내부 시스템 및 네트워크에 직접 솔루션을 설치하는 온프레미스에 비하여 개인정보보호 및 보안이 취약할 것이라는 인식이 있다.

화이트소스는 이러한 보안 관련 문제가 발생할 여지를 사전에 제거하기 위하여 오픈소스 라이브러리의 해시값을 계산하여 SaaS 기반 DB와 상호 참조하는 방식으로 오픈소스를 분석하는 방식을 차용한다. 

이를 통해 고객이 개발한 독점적인 코드가 외부에 공개될 가능성 자체가 발생하지 않을 뿐 아니라 오픈소스와 관련된 모든 데이터에 대한 전송 시 TLS 암호화 과정을 거치도록 하여 외부에서 오픈소스 구성요소가 포함된 제품 또는 프로젝트를 식별할 수 없도록 보호한다. 

아마존이 제공하는 클라우드 서비스인 아마존웹서비스(AWS) 기반의 호스팅을 이용하여 기업 내에서 사용하는 각종 개인정보 및 기밀 데이터를 AWS 내에 저장한다. 

특히 2단계 인증을 추가로 거친 담당자만 해당 데이터에 접근할 수 있도록 보호하며 국제표준 정보보호 인증으로 정보보호 분야에서 가장 권위있는 인증으로 평가되는 ISO27001 인증을 획득하여 정보보호에 대한 보안 안정성을 검증받았다.

글 : 김 선 태 / 보안솔루션 사업팀 / 쿤텍