“소프트웨어 공급망 공격, 특히 오픈소스 공격은 갈수록 기업에 큰 위협이 되고 있다. 개발자들은 매일 쏟아지는 수백만개의 오픈소스 라이브러리에 있는 개발코드를 아무런 검증없이 그대로 사용한다. 그 결과 수많은 보안사고가 발생하고 있다. 누가 만들었고 보안상 문제가 없는지 가시성을 확보하고 악성코드를 찾아내 제거해야 상존하는 위협의 정도를 줄여 나갈 수 있다.” -로만 투마(ROMAN TUMA) 체크막스(Checkmarx) CRO-
체크막스는 16일 기자간담회를 열고 애플리케이션에서 컴포넌트간 상호작용 및 소프트웨어 자재명세서(Bill Of Material, BOM)의 가시성을 제공하는 맥락 인지 상호작용 엔진인 ‘체크막스 퓨전(Checkmarx Fusion)’을 출시한다고 발표했다.
개발자와 애플리케이션 보안(AppSec, 앱섹) 팀은 포괄적 앱섹 테스트를 위해 일반적 애플리케이션에 포함된 수십 개 컴포넌트의 상호작용, 기능, 취약점에 대한 단일하고 통합된 뷰를 오랫동안 필요로 해왔다. 체크막스는 이 같은 요구에 대응해 애플리케이션 취약점에 대한 총체적 관점을 제공해주는 ‘체크막스 퓨전’을 개발했다.
이 제품은 소프트웨어 라이프사이클의 모든 단계에 걸친 애플리케이션 보안 스캔 결과에 대한 총체적 뷰를 활용해서 취약점을 서로 연결하고 우선순위를 정의하여 가장 중요한 이슈를 먼저 교정할 수 있도록 안내한다.
개발팀은 ‘시프트 레프트(shift-left)’ 를 통해 해서 처음부터 마지막 코드 라인을 쓸 때까지 개발 사이클 전반에 포괄적 앱섹 테스팅 및 교정 절차를 반영할 수 있다.
기존 ASOC (Application Security Orchestration and Correlation) 솔루션과 달리 체크막스 퓨전은 멀티 엔진 스캔을 통해 상관관계를 파악하고 여러 엔진에 걸친 스캔 결과를 맥락에 기반해서 파악, 리스크의 우선 순위를 정의한다.
체크막스 퓨전은 다음과 같은 네 개 요소를 통해 개발자와 앱섹 팀의 권한을 강화한다.
△가시성: 위협을 모든 소프트웨어 요소, 사용하는 클라우드 자원, 그들 간의 관계를 포함하는 직관적인 시각적 그래프로 매핑해서 위협 모델을 제공한다. 체크막스 퓨전은 2회 이상의 스캔으로 탐지에 걸리지 않을 수 있는 잠재적 취약점을 추론해서 제시한다.
△상관관계: 정적 코드 스캔 및 런타임 스캔의 결과를 결합, 상관관계를 파악해서 사일로 스캐너에 맥락을 부여하고 오탐지(false positives)을 효과적으로 제거한다.
△우선순위: 취약점을 실질적 임팩트 및 리스크 기준으로 우선순위를 정의해서 개발자와 앱섹 팀이 가장 중요한 이슈를 해결하는데 집중하도록 한다.
△클라우드-네이티브: 마이크로서비스, 클라우드 자원, 컨테이너, API를 포함하는 클라우드 네이티브 아키텍처를 활용하면서 구축 이전 단계부터 런타임에 이르기까지 확보한 인사이트를 서로 연결시킨다.
로만 투마 CRO는 “개발팀은 매달 수천만 라인의 코드를 테스트한다. 소스코드, 오픈소스 코드, IaC(Infrastructure-as-Code), 컨테이너 등을 포함하는 현대 애플리케이션의 복잡성으로 인해 개발자와 앱섹 리더는 애플리케이션 컴포넌트가 서로 어떻게 상호작용하는지 가시성을 확보해야 하는 중요한 이유가 생겼다”며 “체크막스는 전 세계 고객들과 긴밀히 협력하면서 개발자와 앱섹 팀이 AST와 ASOC(Application Security Orchestration and Correlation, 애플리케이션 보안 위협 관리 및 상관관계분석 솔루션에 없는 애플리케이션 취약점의 맥락과 우선 순위에 대한 총체적 관점을 필요로 한다는 사실을 알게 됐다. 체크막스 퓨전은 앱섹 취약점 교정을 통일시키고 우선 순위를 정의하고 간소화해서 개발자의 효율과 조직의 민첩성을 증대시킨다”고 설명했다.
체크막스 퓨전은 업계에서 가장 포괄적인 AST 플랫폼인 ‘체크막스 원(Checkmarx One)’에 포함된다.
로만 투마 CRO는 “체크막스 플랫폼은 가장 다양한 코드 스캔 역량을 제공하고 있으며 코드 데이터 간 상관관계를 찾아 보안팀이 우선적으로 처리해야 할 코드를 정해준다. 또 15년간 축적된 악성코드와 관련된 위협 인텔리전스 정보를 제공해 악성코드를 통한 보안위협 감소에 근본적 기여를 하고 있다”며 “이번 로그4j 사태에서도 개발자들이 인지하기 전에 빠르게 문제점을 발견해 아파치에서 패치할 수 있도록 정보를 전달한 바 있으며 최근 깃허브 취약점을 사전에 전달해 준 바 있다”고 말했다.
이어 “체크막스 SCS는 애플리케이션 보안을 강화할 뿐만 아니라 애플리케이션이 운영 환경에 배포되기 전에 코드 자체에서 리스크를 교정하기 때문에 훨씬 비용 효율적이다. 운영 중인 애플리케이션에서 문제가 어디 있는지, 무엇을 해결해야 할지 정보를 제공한다”고 덧붙였다.
★정보보안 대표 미디어 데일리시큐!★