[보도자료] 금융권 오픈소스 보안 관리 최적화 방법은? 취약점 분석과 관리 포털 연동해 대응(디지털데일리)
[디지털데일리 박세아 기자] 오픈소스 활용이 확대되고 있는 금융권에서 보안에 대한 우려도 높아지고 있다. 이에 대해 시높시스와 엘에스웨어는 각 사의 오픈소스 라이브러리에 대한 취약점 분석(SCA)솔루션 ‘블랙덕(BlackDuck)’과 오픈소스 관리 포털 ‘포세라(FOSSEra)’를 연동해 대응하는 방안을 제시했다.
5일 <디지털데일리>가 서울 중구 더플라자 호텔에서 개최한 ‘시높시스 코리아 금융분야 오픈소스 보안/관리전략 세미나’에서는 오픈소스 보안에 효율적인 솔루션이 소개됐다.
이 자리에서 엘에스웨어 오픈소스 거버넌스 사업 총괄 박준석 상무는 ‘금융권 디지털 혁신을 위한 오픈소스 보안 리스크 관리 방안’에 대해 발표했다. 박 상무는 오픈소스 보약 취약점에 대처하기 위해서 타사에서 유입되는 오픈소스가 공급망 차원에서 관리돼야 한다고 강조했다.
박 상무는 비즈니스에서 오픈소스 사용비율은 계속 증가하고 있다는 점을 짚었다. 그만큼 오픈소스를 관리하지 못한 리스크 부담은 기업에게 돌아가고 있다는 설명이다.
‘2023년 오픈소스 보안 및 위험 분석 보고서’에 따르면 전세계 엔터프라이즈 기업 대상 분석 결과 1703개 솔루션 중 87%에서 오픈소스 보안 위협이 발견됐다. 이에 많은 기업은 오픈소스를 효과적으로 추적하고 관리해야 한다.
이 가운데 박 상무는 보안 요구가 큰 국내 금융그룹 전 계열사에서 사용 중인 점검도구 ‘블랙덕’과 관리포털 ‘포세라’가 적확한 솔루션이 될 수 있다고 봤다. 엘에스웨어가 개발한 관리 포털 포세라는 블랙덕과 연동해 사용할 수 있다. 이 2개 솔루션은 ▲거버넌스 기반 관리 프로세스 자동화 ▲기업 내 오픈소스 통합 채널 제공 ▲오픈소스 분석 도구 및 내부 시스템 연동 등을 특징으로 한다.
구체적으로 박 상무는 포세라는 고객사의 다양한 내부 시스템과 유연한 연계가 가능하고, 시스템 구축기간을 단축할 수 있다고 전했다. 특히 포세라는 1.5페라바이트(PB) 수준 데이터를 제공하고, 상시 업데이트가 가능한 블랙덕 데이터베이스와 연동이 가능하다.
그는 “두 솔루션 연동으로 거의 모든 형태의 점검이 가능해졌다”라며 “오픈소스 관리 현황을 한눈에 파악할 수 있는 대시보드 제공도 주목해 볼 만하다”라고 말했다.
이어 “소스코드, 바이너리, 도커, 형상 점검을 지원하고, 배포형태 별 점검 지원을 통해 점검 결과를 자동 판별한다”라며 “프로젝트를 이력형태로 관리하고, 각 프로젝트의 최종 버전에 대한 결과 정보를 파악할 수 있다”라고 덧붙였다.
이 외에도 하나의 프로젝트에 다수 버전 관리, 대표 버전 지정을 통한 최종 릴리즈 버전 별도 관리 기능도 솔루션 장점으로 꼽았다.
박 상무에 따르면 점검 결과는 소프트웨어자재명세서(SBOM)으로 관리하고, 자동 판별 결과에 따라 조치할 수 있다. 취약점 발견 시 취약점 상세 정보와 개선된 패치 버전 가이드가 제공된다. 만일 조치가 제대로 진행되지 않으면, 사용자와 관리자에게 알림과 메일이 발송된다.
사안에 따라 예외가 있으면, 예외 신청 등록도 별도로 관리한다. 이렇게 점검이 완료된 프로젝트는 고지문이 자동으로 생성되고, 이후 모든 프로젝트에 대한 통합 조회가 가능하다. 폐쇄망 환경에서도 오픈소스, 취약점, 라이선스 상세 조회가 가능하다.
박세아 기자 seeall@ddaily.co.kr