엔시큐어(문성준 대표)는 글로벌 IT기업 시높시스와 파트너십 계약을 체결하고 시높시스 제품들을 한국시장에 본격적으로 확대해 나가겠다고 26일 밝혔다.

이번 파트너십은 시높시스의 ▲오픈소스 라이선스와 취약점을 관리하는 ‘Black Duck(블랙덕)’, ▲취약점을 찾기 위해 무작위로 데이터를 입력해 오류를 발생시킨 후 원인을 분석하는 퍼즈 테스팅(Fuzz Testing)을 통해 알려지지 않은 취약점을 탐지하는 ‘Defensics(디펜직스)’, ▲애플리케이션에서 발생하는 실제 공격을 모의 테스트 하는 ‘Seeker(식커)’ 솔루션을 국내 시장에 공급하기 위해 맺어졌다.

블랙덕은 GPL 및 BSD, 아파치 등 다양한 오픈소스 라이선스 정보를 제공하며 270만 개 이상의 오픈소스를 목록화해 라이선스 준수 사항을 확인 및 분석할 수 있다. 또한 소스코드 품질 관리를 위해 소프트웨어 개발 수명 주기에 따라 오픈소스 취약점을 탐지할 수 있다.

2017년 5월 국내 대표 소프트웨어 회사가 ‘Ghostscript(고스트스크립트)’ 오픈소스를 사용해 미국 소프트웨어 업체 Artifex(아티펙스)로부터 국제 소송에 휘말린 사례가 있다. 고스트스크립트는 포스트스크립트(PostScript) 인터프리터로 이 소프트웨어를 사용하면 포스트스크립트로 쓰여진 프로그램을 실행할 수 있고 PDF 포맷의 파일을 화면에 표시하거나 프린터로 인쇄할 수 있다.

아티펙스는 해당 오픈소스를 사용한 국내 소프트웨어사가 2013년 고스트스크립트를 쓰기 시작한 이후 결과물을 오픈소스로 공개한 적이 없고 라이선스 비용 또한 지급한 적이 없다는 이유로 2016년 말 캘리포니아 주 북부 지방 법원에 소송을 제기했다. 아티펙스는 고스트스크립트 사용을 당장 중단하고 합리적인 사용료를 지불할 것을 요구했다.

또한 2018년에는 고스트스크립트에 샌드박스를 우회하는 오픈소스 취약점이 발견되었는데, 해커가 익스플로잇 공격에 성공할 경우 원격에서 승인 없이 임의로 명령을 실행할 수 있는 매우 위험한 취약점이다. 세계 시장을 대상으로 개발하는 회사라면 개발 중인 소스코드가 어떠한 오픈소스를 사용하고 있는지, 오픈소스의 취약점은 무엇인지 반드시 확인해 보아야 한다.

아래 항목은 GNU 소프트웨어에 관련된 다섯 가지 의무이다. GNU 일반 공중 사용 허가서는 누구에게나 다음의 다섯 가지의 의무를 저작권의 한 부분으로서 강제한다.

-컴퓨터 프로그램을 어떠한 목적으로든지 사용할 수 있다. 다만 법으로 제한 하는 행위는 할 수 없다.

-컴퓨터 프로그램의 실행 복사본은 언제나 프로그램의 소스 코드와 함께 판매 하거나 소스코드를 무료로 배포해야 한다.

-컴퓨터 프로그램의 소스 코드를 용도에 따라 변경할 수 있다.

-변경된 컴퓨터 프로그램 역시 프로그램의 소스 코드를 반드시 공개 배포해야 한다.

-변경된 컴퓨터 프로그램 역시 반드시 똑같은 라이선스를 취해야 한다. 즉 GPL 라이선스를 적용해야 한다.

이번 파트너십 체결은 엔시큐어의 다양한 경험과 축적된 기술력, 전문적인 보안 컨설팅 능력을 바탕으로 국내 개발사에 폭넓은 가치를 제공하기 위해 맺어졌다.

오연진 엔시큐어 전략기획부 팀장은 “최근 소프트웨어 산업이 크게 발전함에 따라 모바일 앱 및 소프트웨어를 개발할 때 오픈소스의 라이선스와 취약점 관리를 소홀히 여기고 있다. 이는 곧 법적 분쟁을 야기할 수 있기 때문에 주의해야 한다”며 “블랙덕 솔루션을 활용하면 오픈소스 라이선스 관리와 취약점 문제를 쉽고 빠르게 해결 할 수 있다” 고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★