지난해 전 세계를 뒤흔든 ‘로그4j(Log4j)’ 등 보안 취약점이 지속 증가하고 있는 가운데, 이를 노린 랜섬웨어 등 해킹 공격도 가파르게 증가하고 있다. 특히 디지털 전환(DT) 흐름에 따라 개발 및 서비스 속도를 높이기 위해 오픈소스 소프트웨어(OSS)를 사용하는 기업이 늘어나면서 보안의 중요성은 그 어느 때보다 강조되고 있다.
이희조 고려대학교 소프트웨어보안연구소(CSSA) 소장은 26일 온라인으로 열린 ‘IoT큐브 콘퍼런스’를 통해 안전한 시스템 개발 방법론을 개발 단계부터 적용해야 한다고 강조했다. CSSA는 지난 2015년 6월 미국, 영국, 스위스 등 4개국이 국제공동연구를 위해 설립됐다. 취약점 자동화 분석 플랫폼 ‘IoT큐브’와 함께 관련 기술연구 및 사업을 추진 중이다.
그는 “국제적으로 보안 검증이나 승인을 받으려면 개발 단계부터 취약점을 관리하고, 안전한 시스템 개발방법론을 적용했다는 근거를 보여야 한다”며 “지금 자동차, 의료, 제조 등이 국제 표준이나 규제를 통과하려면 취약점 관리 체계를 구축해야 한다”고 설명했다.
이에 대한 대안으로 그는 취약점 자동분석 플랫폼 IoT큐브를 제시했다. IoT 큐브는 보안 전문지식이 없어도 누구나 SW취약점을 분석하고 파악할 수 있도록 하는 플랫폼이다. 웹 기반으로 제공돼 접근성이 용이한 것은 물론, ‘드래그 앤 드롭’ 방식으로 바이너리, 네트워크 등 SW내 취약점을 다방면으로 분석할 수 있다.
지난 2016년 공개 이후 이 플랫폼을 통해 발견된 취약점은 100만개 이상이며, 전세계 141개국에서 약 2만명이 활용 중이다. CSSA는 향후 이 플랫폼을 지속 고도화해 블록체인, OSS 구성명세서 ‘SBOM’ 등에 대한 기능을 추가한다는 계획이다.
이 소장은 “IoT 큐브는 보안 전문가가 아니어도 쉽게 활용할 수 있도록 만드는 것이 목표”라며 “향후 블록체인, 오픈소스 SBOM 등으로 응용 대상을 확대 중”이라고 말했다.
뿐만 아니라 CSSA는 기업용 솔루션 ‘IoT 큐브 래브라도’를 통해 국방, 통신, 금융 등 다양한 분야에서 사업을 추진 중이다. 이 플랫폼은 SBOM 생성 및 SW 내 리스크를 자동으로 분석하고, 대응방안을 제시한다.
이 소장은 “래브라도는 해외도구 대비 탐지 정확도와 사용편의성이 탁월하다는 평가를 받는다”며 “최근 핫한 키워드로 떠오르고 있는 SBOM이나 OSS내 취약점이 포함돼있을 경우를 대비해 미리 준비해야 한다”고 힘줘 말했다.
원문기사 링크 :
https://www.techm.kr/news/articleView.html?idxno=100914