“식당에서 음식을 시킬 때, 안에 마늘이 들어가 있는지 아닌지는 정확히 알 수 없습니다. 마늘 알레르기가 있는 손님에겐 위험한 셈이죠. 최근 소프트웨어(SW) 개발 방식이 이렇습니다.”
애드리안 옹 체크막스 EMEA 및 APJ 지역 채널 및 북아시아 영업 총괄 부사장은 13일 기자간담회에서 “클라우드 시대에는 개발자들의 보안 의식이 더욱 중요해졌다”며 이같이 강조했다. 체크막스는 SW 개발 단계에서 사용하는 보안 솔루션을 공급하는 글로벌 업체다. 전 세계 1400개 고객사와 70여 개 지사를 보유하고 있다.
옹 부사장은 최근 논란이 된 ‘Log4j 사태’를 집중적으로 언급했다. Log4j는 프로그램 개발 과정에서 사용하는 일종의 기록 보관용 라이브러리(프로그램 구성 요소)다. 지난 10일 해당 기능을 사용한 게임 ‘마인크래프트’ 등에서 해커들이 손쉽게 사용할 수 있는 취약점이 발견되며 논란을 빚은 바 있다.
그는 “이번 사태는 마인크래프트 개발자가 아니라, Log4j를 만들어낸 오픈소스 재단 ‘아파치SW’ 라이브러리가 문제였다”며 “SW 개발이 패키지화되며 생겨난 문제”라고 진단했다. 오픈소스 형태로 개발된 기능들을 현장 개발자가 받아와 쓰는 형식이 일반화되며, 모든 개발자가 보안 요소까지 책임지기엔 사실상 불가능한 환경이 됐단 것이다.
클라우드 전환 역시 개발자들의 보안 환경을 취약하게 만들 수 있다고 했다. 그는 “클라우드 기반 개발 환경은 속도가 매우 빠른데, 아마존웹서비스(AWS)를 사용하는 기업들은 11.6초마다 신규 서비스를 배포할 정도”라며 “SW 개발 환경의 복잡성이 증가하며 취약점도 함께 늘어나고 있다”고 했다.
지난달 한국 지사 설립을 마무리한 체크막스는 내년도 국내서 개발자를 위한 취약점 점검 솔루션을 본격 지원할 예정이다. Log4j 사태처럼 오픈소스 활용이 늘어나는 상황이나, 클라우드 전환이 가속화되는 점을 기반으로 국내 시장에서 보폭을 늘린다는 계획이다. 소스코드 분석을 자동화하고, 오픈소스 취약점을 세밀히 관리하는 기능들을 강점으로 내세우고 있다.
응 부사장은 “한국은 이용자 수가 많은 정보기술(IT) 기업들과 스타트업들 사이 개발자 보안 환경 격차가 큰 양극화 시장”이라며 “한국 SW 개발 활동과 공급망에 대한 위협을 파악하고 개선방안을 지속 제안할 예정”이라고 전했다.
이시은 기자
관련뉴스