소프트웨어 공급망 관리 툴을 통한 개발자 업무 생산성 강화
글로벌 소프트웨어 공급망 보안 시장은 2023년 기준 약 10억 달러 규모로 평가되며, 2030년까지 연평균 성장률(CAGR) 15%로 성장해 약 25억 달러에 이를 것으로 전망된다. 특히 Log4j 취약점 사태 이후 기업들의 SBOM(Software Bill of Materials) 도입이 가속화되면서, SBOM 관련 솔루션 시장이 급성장하고 있다. 국내 시장도 정부의 SW 공급망 보안 가이드라인 발표 이후 관련 수요가 증가하는 추세이다.
현대화된 성숙한 플랫폼과 애플리케이션을 개발 및 운영하는 과정에서 오픈소스의 활용은 필수가 되었다. 개발에 필요한 시간과 노력을 혁신적으로 단축할 수 있기 때문이다. 그러나 오픈소스를 사용하는데 예기치 못한 위협도 발생한다. 오픈소스는 모두에게 공개되어 있는 만큼 공격의 대상이 되거나 악의적인 악성코드를 삽입한 오픈소스가 정상 오픈소스처럼 배포될 수 있기 때문이다.
매일 2만개 이상의 신규 오픈소스 버전이 공급망을 통해 배포되는 상황에서 이를 활용하는 기업의 보안 위협도 빠르게 높아지고 있다. 특히 악성코드 공격 위험성이 눈에 띄게 급증하고 있다. 취약점은 소프트웨어 '결함'으로 만들어지고, 취약점이 있더라도 환경에 따라 취약하지 않을 수도 있으나 반면 악성코드는 악의적으로 만든 코드로, 다운로드 자체가 실행이기 때문에 연쇄적으로 큰 리스크를 가져올 수 있다.
혁신의 속도가 경쟁력의 관건이 되는 가운데, 개발팀은 업무 시간을 어디에 쏟을지 우선순위를 정해야 한다. 취약한 컴포넌트에 대한 포괄적인 정보는 위험 관리 수준을 향상시키고 불필요하게 소모되는 시간과 노력을 절감하여 혁신에 전념할 수 있게 한다.
오픈소스를 보다 안전하게 사용하려면 보안 관리 기술과 함께 자동화된 오픈소스 관리도구가 요구된다. 자동화를 위해서는 △고품질 데이터베이스 △정확한 컴포넌트 식별 능력 △유연한 정책 설정 그리고 △개발자 중심 해결 방안 제공이 필요하다.
취약점 데이터베이스의 정확성이 중요한 이유는 개발팀이 실제 위협에만 집중하고 가짜 경고로 인한 시간 낭비를 줄일 수 있기 때문이다. 과탐은 불필요한 작업을 초래하고, 미탐은 실제 위험을 간과하게 만든다. 소나타입의 정확한 데이터는 개발팀이 실제 위협에만 시간을 쏟을 수 있게 해주며 개발팀의 생산성을 극대화하는 동시에 보안 리스크를 최소화할 수 있게 한다. 이를 통해 소프트웨어 기업들은 혁신과 보안을 모두 추구할 수 있게 된다.
소프트웨어 공급망의 복잡성이 커짐에 따라 이번 소나타입(Sonatyp)의 혁신은 보안과 생산성 사이에서 타협할 필요가 없다는 점을 시사한다. 소나타입의 데이터 품질 우수성은 신뢰할 수 있는 소프트웨어 개발 및 사이버보안의 새 시대를 열어갈 것으로 기대된다.
소나타입 플랫폼은 현대화된 소프트웨어 개발 주기에 맞춰 네가지 솔루션인 △넥서스 리파지토리 (기업용 넥서스(Nexus) 오픈소스 바이너리 아티팩트 저장소) △소나타입 리포지토리 파이어월 (오픈소스 저장소 방화벽) △소나타입 라이프사이클 (오픈소스 개발 라이프사이클 거버넌스 자동화 도구)와 컴플라이언스 요구사항에 부합하는 △SBOM Manager를 최근 출시하였다. 소나타입 플랫폼은 설계와 개발 단계에서 가장 중요하게 여기는 보안의 핵심이 되는 소프트웨어 공급망 보안 솔루션으로 최근 국내 대표 금융사와 대형 제조사, 이커머스 사에서 도입하며 전 산업분야로 도입이 빠르게 확산 중이다.
소나타입 플랫폼이 넥서스 라이프사이클은 SDLC 전반에 걸쳐 자동으로 오픈소스 취약점을 탐지하고 해결한다. 이 과정에서 머신러닝 기반의 정밀 분석을 통해 잘못된 예측을 하는 펄스 포지티브false positive)를 최소화하며, 개발 초기 단계부터 보안 문제를 식별하여 비용 효율적인 해결을 지원한다.
넥스트 파이어월은 악성 컴포넌트의 유입을 원천 차단하여 현대적 SW 공급망 공격으로부터 보호한다. 이는 단순히 알려진 취약점 뿐만 아니라, 행위 기반 분석을 통해 잠재적 위험이 있는 패키지까지 식별하여 차단한다.
넥서스 레포지터리(Nexus Repository)를 통해 모든 주요 패키지 유형과 형식을 지원하며, 개발자들이 안전하고 효율적으로 컴포넌트를 관리할 수 있다. 특히, 프록시 캐싱 기능을 통해 빌드 속도를 향상시키고, 네트워크 대역폭 사용을 최적화한다.
어드밴스드 리걸 팩(Advanced Legal Pack)은 심층적인 법률 검토를 통한 라이선스 컴플라이언스를 보장한다. 이는 단순히 라이선스 정보를 제공하는 것을 넘어, 각 라이선스의 의무사항과 제약사항을 상세히 분석하여 제시함으로써 법적 리스크를 최소화한다.
어드밴스드 시큐리티(Advanced Security) 기능은 취약점 악용 가능성을 정확히 예측하여 우선순위를 지정하며, 이는 CVSS 점수 뿐만 아니라, 실제 공격 가능성, 비즈니스 영향도 등을 종합적으로 고려한 소나타입의 독자적인 위험 평가 모델 기반의 정확한 데이터를 제공하고 있다.
① 통합된 SBOM 관리
소나타입 플랫폼은 SBOM(Software Bill of Materials)을 자동으로 생성하고 관리하다. 이는 CycloneDX, SPDX 등 주요 SBOM 표준을 모두 지원하며, 실시간으로 SBOM을 업데이트하여 항상 최신의 소프트웨어 구성 정보를 유지한다.
② AI 기반 위협 탐지
Sonatype의 독자적인 AI 엔진인 Nexus Intelligence는 매일 수백만 개의 오픈소스 컴포넌트를 분석하여 새로운 취약점과 위협을 식별하며, 이는 공개된 CVE 정보보다 평균 10일 빠르게 취약점을 탐지하여, 기업들이 선제적으로 대응할 수 있도록 데이터를 제공한다.
③ 맞춤형 정책 관리
기업의 특성과 요구사항에 맞는 세밀한 정책 설정 기능을 제공한다. 이는 단순히 보안 정책뿐만 아니라, 아키텍처 표준, 품질 기준 등 다양한 측면에서의 정책을 수립하고 적용할 수 있게 하여, 일관된 소프트웨어 관리를 가능케 한다.
④ 확장성과 유연성
RESTful API를 통해 기존 개발 도구 및 CI/CD 파이프라인과 쉽게 통합된다. 이를 통해 개발자들은 익숙한 환경에서 Sonatype Platform의 기능을 활용할 수 있어, 도입 과정에서의 마찰을 최소화하고 신규 툴을 습득하기 위한 러닝커브를 단축하여 생산성을 유지할 수 있다.
금융 서비스 기업 ABN AMRO는 소프트웨어 개발 프로세스가 매우 느려 생산성 저하의 이슈가 있었다. 간단한 “Hello World!” 테스트 프로그램도 다단계 워터폴 프로세스와 수동 승인으로 인해 생산까지 거의 6개월이 걸리는 상황이었다.
이에 워터폴에서 데브옵스 문화로 전환하면서, 소나타입 라이프사이클을 사용하여 오픈소스 모니터링 및 추적을 하고, 레포지터리를 바이너리 아티팩트 저장소로 활용했다. 이를 통해 빌드 속도가 2배 이상 향상 되어 생산성이 높아졌다.
소프트웨어 기업 프로그레스 소프트웨어(Progress Software)는 의사결정 관리 기업 코티컨(Corticon)을 인수하고 그들의 비즈니스 규칙 엔진을 여러 프로그레스 제품에 통합하고자 했다. 코티커 제품에 GPL 컴포넌트가 포함되어 있지 않은 지 확인하여 인수나 제품 통합 과정에서 예상치 못한 위험을 피하고자 했다.
소나타입은 프로그레스가 실사를 간소화하고 위험을 줄이며 자신감 있게 전진할 수 있도록 필요한 도구와 지원을 제공했다. 넥서스 라이프사이클을 사용하여 코티컨의 코드에 라이선스 문제가 없음을 신속하게 확인할 수 있도록 개선했다. 이를 통해 인수 과정에서의 위험을 줄이고 자신감 있게 의사결정을 할 수 있게 되었다.
금융 서비스 기업 에키팩스(Equifax)는 오픈소스 사용을 통제하고 관리할 수 있는 방법이 필요했다.
이에 소나타입 넥서스 플랫폼을 도입하여 개발자들이 승인된 컴포넌트만 사용하도록 해 개발자 생산성이 30% 향상되었고, 보안 및 라이선스 위험이 크게 감소를 경험했다.
이처럼 소나타입 플랫폼 도입 기업들은 평균적으로 보안 취약점 탐지 시간을 90% 단축하고, 오픈소스 관련 법적 리스크를 75% 감소시키는 효과를 경험했다. 또한, 개발자 생산성이 30% 향상되었으며, 소프트웨어 릴리스 주기가 25% 단축되는 혜택을 누리게 되었다. 특히, SBOM 자동 생성 및 관리를 통해 규제 대응 시간이 60% 감소하여, 글로벌 시장에서의 경쟁력이 크게 강화로 이어졌다.
소나타입은 향후 AI/ML 기술을 더욱 고도화하여 제로데이 취약점 예측 기능을 강화할 계획이며, 또한, 클라우드 네이티브 환경에 최적화된 컨테이너 보안 기능을 확장하고, 블록체인 기술을 활용한 SBOM 무결성 검증 시스템을 도입할 예정이다. 이를 통해 더욱 포괄적이고 선제적인 소프트웨어 공급망 보안 솔루션을 제공할 것으로 기대한다.
유은정 기자 judy6956@etnews.com
