데일리시큐가 주최하는 하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2023이 9월 5일 더케이호텔서울 2층 가야금홀에서 공공, 금융, 기업 정보보호 실무자 1,000여 명이 참석한 가운데 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원 후원으로 개최됐다. 

이 자리에서 오픈텍스트 최경철 이사는 ‘Nexus Repository(내부 오픈소스 라이브러리 저장소)를 활용한 위험한 오픈소스 라이브러리 유입 차단 및 관리’를 주제로 강연을 진행했다. 

그는 최근 개발자와 기업들 간의 오픈소스 라이브러리 관리와 보안에 대한 새로운 접근법을 제시했다. 그는 오픈소스 라이브러리의 사용과 관리에 대한 새로운 시각을 공유하며, 이를 위한 솔루션을 제안하는 시간을 가졌다. 

최근 소프트웨어 개발에서 오픈소스 라이브러리는 필수적이며 효율적인 도구로서 사용되고 있다. 그러나 이러한 라이브러리의 사용은 보안취약성과 라이선스 위반과 같은 위험을 내포하고 있다. 그는 이러한 위험을 최소화하고 기업 내부 라이브러리 저장소를 관리하기 위해 Nexus Repository와 Sonatype 플랫폼을 소개하며 그 중요성을 강조했다.

Nexus Repository는 오픈소스 라이브러리의 안전한 저장과 관리를 위한 강력한 도구로서, 개발자들이 필요한 라이브러리를 기업 내부 저장소에서 받을 수 있도록 지원한다. 이를 통해 외부에서 라이브러리 다운로드를 차단하고, 보안취약성과 라이선스 위반을 방지할 수 있다.

특히, ‘소나타입(Sonatype) 플랫폼’은 오픈소스 라이브러리 취약성 점검을 위해 CI/CD 파이프라인을 통합하며, 빌드 단계에서 라이브러리의 보안 취약점을 식별하고 조치할 수 있다. 이를 통해 개발 과정 중 라이브러리의 위험을 사전에 파악하고 방지할 수 있다.

소나타입 라이프사이클은 개발 프로세스 중 다양한 단계에서 라이브러리 취약성을 탐지하고 통제할 수 있는 솔루션을 제공한다. 개발자들은 이를 통해 취약점을 식별하고 필요한 조치를 취할 수 있다.

또 Nexus Repository Pro는 기업 내부 라이브러리 저장소로 사용되며, 내부망에서 사용하는 경우 인터넷 접속을 제한할 수 있어 보안성을 높일 수 있다. 또한 Repository Firewall을 사용하면 외부에서 유입되는 위험한 라이브러리를 차단할 수 있으며, 이를 통해 보안을 강화하고 기업 내부의 라이브러리 저장소를 보호할 수 있다.

최경철 이사의 강연은 오픈소스 라이브러리 관리와 보안에 대한 이상적인 접근법을 제시하고, 이를 위한 솔루션을 소개해 개발자와 기업들이 보다 안전하고 효율적으로 소프트웨어를 개발하고 관리하는 데 도움을 줬다. 

보다 상세한 내용은 아래 강연영상을 참고하면 된다. PASCON 2023 강연자료는 데일리시큐 자료실에서 다운로드 가능하다. 

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★