AI·ML, 전문연구원이 상시 분석한 오픈소스 최신 취약점 정보 제공
기존 소프트웨어개발라이프사이클(SDLC)에 완벽 연동, 취약한 오픈소스 사전 식별
보안 취약점, 라이선스 위반, 지적재산권 분쟁 등 회사 지적자산 보호
디지털포렌식·모바일포렌식·악성코드포렌식 전문업체 인섹시큐리티(대표 김종광)가 글로벌 보안기업 소나타입이 개발한 '넥서스(Nexus) 플랫폼'을 13일 국내 공식 출시했다고 밝혔다.
넥서스 플랫폼은 AI(인공지능)·ML(머신러닝), 전문연구원이 상시 분석한 오픈소스 소프트웨어(SW)의 최신 취약점 정보를 제공한다. 또 기존 기업·기관의 소프트웨어개발라이프사이클(SDLC)에 완벽하게 연동돼 오픈소스 관련 보안 취약점을 식별한다.
넥서스 플랫폼은 '넥서스 방화벽(Nexus Firewall)' '넥서스 저장소(Nexus Repository)' '넥서스 라이프사이클(Nexus Lifecycle)' '넥서스 오디터(Nexus Auditor)' 등으로 구성된다.
넥서스 방화벽은 'SDLC'에서 내부 정책에 어긋나거나 라이선스 위반, 보안 취약점이 존재하는 오픈소스 유입을 방지한다. 넥서스 저장소는 저장소 아티팩트, 라이브러리, 릴리즈를 식별해 안전한 패키지만 제공한다. 넥서스 라이프사이클은 SDLC 모든 단계와 연동해 지속적으로 보안위협을 식별하고 개발 정책을 적용해 문제를 찾는다. 넥서스 오디터는 시중에 사용 중인 프로덕션 앱 내 오픈소스소프트웨어(OSS) 구성 요소를 검사하고 취약점을 식별한다.
넥서스 플랫폼은 다양한 경험과 경력을 가진 전문가를 구성해, 기존 공개된 취약점 데이터베이스보다 방대한 오픈소스 취약점 정보를 분석 제공한다. 지속적인 실시간 검사를 통해 공개된 취약점 데이터베이스에 조회하는 것보다 10배 이상 빠른 속도로 새로운 오픈소스 취약점을 발견하고 진단 결과를 제공해 조치할 수 있도록 지원한다.
또 명시된 구성요소가 아닌 실제 포함된 요소를 검사해 모든 임베디드 종속성을 검사하고 취약점을 식별한다. 파일이름이나 패키지 매니페스트가 아닌 ABF(Advanced Binary Fingerprints)로 구성요소를 정확히 식별한다. 넥서스 인텔리전스(Nexus Intelligence) 기반 검사를 통해 오탐을 최소화하고 정확한 탐지로 취약점을 식별한다.
김종광 인섹시큐리티 대표는 “오픈소스는 방대한 개발 환경에서 간편하고 다양하게 사용되고 있다”면서 “오픈소스의 잠재적인 보안 취약점 예방, 라이선스 위반 방지를 위해 오픈소스 사용 현황, 업데이트 진행 현황, 정책 준수 여부 등을 지속적으로 상세하게 점검해야 한다”고 말했다.
그는 또 “소나타입의 넥서스 플랫폼은 기업에서 도입한 오픈소스 기반 SW 보안 취약점, 라이선스 위반 분석을 수행한다”면서 “기업 내부로 오프소스가 유입되는 단계에서부터 신속하게 사전 대응할 수 있도록 지원하는 인텔리전스 보안 플랫폼”이라고 덧붙였다.
이준희기자 jhlee@etnews.com