혁신적인 '음영화된 취약점 탐지' 기술로 기존에 탐지가 어려웠던 위험 요소 식별
7월부터 '심각' 수준 취약점 33만건의 해결방안 고객사 제공 예정
소프트웨어 공급망을 통한 오픈소스 거버넌스 자동화 솔루션 기업 소나타입은 자사 플랫폼에 새로운 '음영화된 취약점 탐지' 기능을 도입해 450만건의 새로운 오픈소스 취약점을 탐지하였고, 오는 7월부터 이중 33만 6천 건의 '심각' 수준 취약점부터 고객사에 제공한다고 발표했다.
이 탐지기술은 소나타입이 개발한 새로운 알고리즘을 기반으로, 기존에 식별하기 어려웠던 '음영화된' 오픈소스 파일 내 취약점을 확인할 수 있다. 음영화(Shaded)는 원본 코드를 재패키징 하는 기법으로 프로젝트 내에서 취약점이 포함된 코드가 재배치되거나 재컴파일 되었을 경우 기존의 취약점 탐지 방식으로는 식별을 어렵게 만드는 기법이다.
혁신적인 기술을 통해 소나타입은 소프트웨어 공급망 내에 잠재된 또 다른 위험 요소를 발견할 수 있었다. 총 450만 건의 추가 오픈소스 취약점이 드러났으며, 이 중 185만 건은 '높음' 등급, 33만 6천 건은 미국 취약점 데이터베이스(NVD)에서 '심각'(9.7 이상)으로 분류된 Log4Shell 수준의 위협이었다.
혁신의 속도가 경쟁력의 관건이 되는 가운데, 개발팀은 업무 시간을 어디에 쏟을지 우선순위를 정해야 한다. 취약한 컴포넌트에 대한 포괄적인 정보는 위험 관리 수준을 향상시키고 불필요하게 소모되는 시간과 노력을 절감하여 혁신에 전념할 수 있게 한다.
소나타입 CEO 웨인 잭슨은 “디지털 세계를 뒷받침하는 오픈소스 소프트웨어 보안에 있어 충분히 좋은 수준이란 있을 수 없다. 해커들의 공격 방식이 지속적으로 진화하고 있어 우리 역시 그에 맞춰 발전해야 한다”면서 “취약점에 대한 가장 폭넓고 심층적인 인사이트를 제공하여 생산성을 높이고 위험을 최소화할 수 있는 도구와 자동화 환경을 갖추는 것이 우리의 의무”라고 강조했다.
취약점 데이터베이스의 정확성이 중요한 이유는 개발팀이 실제 위협에만 집중하고 가짜 경고로 인한 시간 낭비를 줄일 수 있기 때문이다. 과탐은 불필요한 작업을 초래하고, 미탐은 실제 위험을 간과하게 만든다. 소나타입의 정확한 데이터는 개발팀이 실제 위협에만 시간을 쏟을 수 있게 해주며 개발팀의 생산성을 극대화하는 동시에 보안 리스크를 최소화할 수 있게 한다.
이를 통해 소프트웨어 기업들은 혁신과 보안을 모두 추구할 수 있게 된다. 소프트웨어 공급망의 복잡성이 커짐에 따라 이번 소나타입의 혁신은 보안과 생산성 사이에서 타협할 필요가 없다는 점을 시사한다. 소나타입의 데이터 품질 우수성은 신뢰할 수 있는 소프트웨어 개발 및 사이버보안의 새 시대를 열어갈 것으로 기대된다.
소나타입 플랫폼은 현대화된 소프트웨어 개발 주기에 맞춰 네가지 솔루션인 △넥서스 리포지토리 (기업용 넥서스(Nexus) 오픈소스 바이너리 아티팩트 저장소) △소나타입 리포지토리 파이어월 (오픈소스 저장소 방화벽) △소나타입 라이프사이클 (오픈소스 개발 라이프사이클 거버넌스 자동화 도구)와 컴플라이언스 요구사항에 부합하는 △SBOM Manager를 최근 출시하였다. 소나타입 플랫폼은 설계와 개발 단계에서 가장 중요하게 여기는 보안의 핵심이 되는 소프트웨어 공급망 보안 솔루션으로 최근 국내 대표 금융사와 대형 제조사, 이커머스 사에서 도입하며 전 산업분야로 도입이 빠르게 확산 중이다.
소나타입은 고객사에게 이번에 새로 발견된 취약점에 대해 7월부터 '심각' 수준의 음영화된 취약점부터 4단계에 걸쳐 심각도 단계별로 해결 방안을 제공할 예정이다. 소나타입에 대한 추가 문의는 국내 총판 오에스씨코리아를 통해 확인할 수 있다.
유은정 기자 judy6956@etnews.com
