공급망 보안을 위한 소프트웨어 관리 솔루션 ‘엑스스캔’
‘원본’ 소프트웨어와 ‘업데이트’ 파일 비교해 이상유무 확인
[보안뉴스 원병철 기자] 제로트러스트와 함께 2023년 보안 분야의 핫이슈로 떠오른 ‘공급망 보안’은 국내외 보안관련 기관에서 주목하며 대책 마련에 나서고 있다. 여러 차례 대규모 공급망 공격을 당한 미국은 연방기관에 SW 내장 제품을 납품할 경우 SBOM(Software of Materials) 제출을 의무화하는 등 공급망 보안 강화에 나섰다. 우리나라 역시 지난 2022년 10월 과기정통부를 중심으로 ‘제로트러스트, 공급망 보안 포럼’을 발족하며, 기존 보안체계의 한계를 뛰어넘는 신보안체계 마련에 뛰어들었다.
▲전익찬 레드펜소프트 부사장[사진=보안뉴스]
이처럼 국내외를 가리지 않고 공급망 보안 강화에 나선 지금, ‘소프트웨어 공급망 공격’ 방어에 나선 스타트업 한 곳이 눈길을 끌고 있다. 바로 ‘레드펜소프트(대표 배환국)’다. 레드펜소프트는 2021년 설립한 스타트업이지만, 공급망 보안에 대해 연구한 것은 꽤나 오래전부터다. 처음 연구를 시작한 것이 배환국 대표가 운영하는 ‘소프트캠프’였기 때문이다.
소프트웨어의 생산과 전달과정에서 발생한 취약점을 노린 공급망 공격이 늘었지만 이에 대한 대응은 쉽지 않았다. 이 때문에 처음 사용한 소프트웨어와 패치를 비교해 얼마만큼의 ‘변화’가 있는지를 비교해보자는 생각을 했고, 이를 개발했지만 사용자가 이를 직접 운용하는 것을 어려워해서 전문가의 관리가 필요하다고 판단했다. 이에 화이트해커 회사인 ‘엔키’와 합자법인 ‘엑스스캔’을 설립하고, 전문경영인으로 전익찬 부사장을 영입했다. 이후 사명도 ‘레드펜소프트’로 바꿨다.
소프트웨어의 자산화부터 관리감독까지 기업의 인식부터 바뀌어야
엑스스캔(X-SCAN)은 처음 레드펜소프트 설립 당시의 회사명인 동시에 핵심 소프트웨어의 이름이다. 회사 이름과 소프트웨어의 이름이 같은 것이 처음에는 좋아보였지만, 사업을 확장하고 해외에 진출할 때 불편한 점이 있어 2022년 2월 ‘레드펜소프트’로 변경했다.
전익찬 부사장은 “보안이 강화된 기관이나 기업에 가보면, 방문하는 사람에 대한 관리가 철저하다”면서, “그런데 소프트웨어는 그런 게 없어서 연구를 시작한 것이 바로 엑스스캔”이라고 설명했다.
“기업이 사용하는 소프트웨어는 3가지 유형중 하나입니다. 첫 번째는 1st 파티로 기업이 직접 개발한 소프트웨어를 말합니다. 직접 개발했기에 소스코드나 취약점 관리를 직접 할 수 있고, SBOM 관리나 공급망 위협에도 대응할 수 있습니다. SI 등 외주 용역을 통해 개발하는 2nd 파티 소프트웨어도 마찬가지입니다. 개발 계약조건에 따라 다르겠지만, 대부분 1st 파티처럼 관리가 가능하죠. 문제는 완제품으로 구입하는 3rd 파티 소프트웨어입니다. 완제품, 즉 상용 소프트웨어이기에 소스코드 관리는 물론 취약점 관리도 거의 불가능합니다. 또한, SBOM 제작과 관리 역시 어렵고, 공급망 위협에 대한 대응 또한 쉽지 않습니다.”
소프트웨어에 대한 가시성 확보도 중요하다. 문제는 기업들 대부분이 소프트웨어를 자산으로 취급하지 않는다는 점이다. 기업에서 사용하는 소프트웨어는 대부분 업데이트가 이뤄지는데, 이 업데이트 관리가 쉽지 않은 것도 문제다. 특히, 업데이트 파일을 대부분 이메일로 주고 받고, 또 그 파일을 이메일로 보관한다. 아울러 최근 소프트웨어 개발 추세를 보면 오픈소스를 엄청나게 사용하는데, 이중 취약점이 발견된 적이 있거나 악용된 오픈소스를 찾아내기 쉽지 않은 것도 문제다.
▲엑스스캔[자료=레드펜소프트]
레드펜소프트는 이러한 문제점들을 해결하기 위해 엑스스캔 기술을 개발했다. 엑스스캔 솔루션을 쉽게 설명하면, 기본 소프트웨어와 패치된 소프트웨어를 비교해 위협이나 의심 가는 내용이 있는지 확인한 후, 문제가 있으면 이를 설치하지 않고 소프트웨어 제조사에 확인하는 방법이다. 예를 들어, 우리가 흔히 사용하는 ‘한글’ 소프트웨어를 처음 구입한 후, PC에 설치하면 보통은 업데이트를 진행한다. 하지만 최초로 설치된 소프트웨어를 기준으로 업데이트 파일을 레드펜소프트의 SW 검증 체계인 ‘Human Intelligence’와 ‘Threat Intelligence’가 분석한 뒤 문제가 없는지 확인하고, 문제가 있다면 그 문제를 제조사와 공유해 확인하는 과정을 거치는 것이다.
“오픈소스 전용 분석툴과 비교하시는 분들도 계신데, 적용대상부터 분석소스, 컴포넌트 분석과 코드사인 인증서 등 전혀 다른 위상의 제품이며 경쟁제품이 아닙니다. 다만, 엑스스캔은 오픈소스 전용 분석툴의 기능 대부분을 갖췄기 때문에 대체가 가능하다는 점을 강조하고 싶습니다.”
최근 국내 기업들이 디지털 전환을 추진하는 상황이라 우선 국내에서 레퍼런스를 만들겠다는 전익찬 부사장은 이후 일본과 싱가포르 등에 진출할 계획이다. 아울러 엑스스캔 초기 제품은 윈도우 기반의 소프트웨어를 타깃으로 하고 있지만, 현재 스마트폰 앱용 제품과 리눅스 제품도 개발 중이기 때문에 고객의 다양한 니즈에도 대응할 수 있을 것이라고 설명했다.
[원병철 기자(boanone@boannews.com)]
‘원본’ 소프트웨어와 ‘업데이트’ 파일 비교해 이상유무 확인
[보안뉴스 원병철 기자] 제로트러스트와 함께 2023년 보안 분야의 핫이슈로 떠오른 ‘공급망 보안’은 국내외 보안관련 기관에서 주목하며 대책 마련에 나서고 있다. 여러 차례 대규모 공급망 공격을 당한 미국은 연방기관에 SW 내장 제품을 납품할 경우 SBOM(Software of Materials) 제출을 의무화하는 등 공급망 보안 강화에 나섰다. 우리나라 역시 지난 2022년 10월 과기정통부를 중심으로 ‘제로트러스트, 공급망 보안 포럼’을 발족하며, 기존 보안체계의 한계를 뛰어넘는 신보안체계 마련에 뛰어들었다.
▲전익찬 레드펜소프트 부사장[사진=보안뉴스]
이처럼 국내외를 가리지 않고 공급망 보안 강화에 나선 지금, ‘소프트웨어 공급망 공격’ 방어에 나선 스타트업 한 곳이 눈길을 끌고 있다. 바로 ‘레드펜소프트(대표 배환국)’다. 레드펜소프트는 2021년 설립한 스타트업이지만, 공급망 보안에 대해 연구한 것은 꽤나 오래전부터다. 처음 연구를 시작한 것이 배환국 대표가 운영하는 ‘소프트캠프’였기 때문이다.
소프트웨어의 생산과 전달과정에서 발생한 취약점을 노린 공급망 공격이 늘었지만 이에 대한 대응은 쉽지 않았다. 이 때문에 처음 사용한 소프트웨어와 패치를 비교해 얼마만큼의 ‘변화’가 있는지를 비교해보자는 생각을 했고, 이를 개발했지만 사용자가 이를 직접 운용하는 것을 어려워해서 전문가의 관리가 필요하다고 판단했다. 이에 화이트해커 회사인 ‘엔키’와 합자법인 ‘엑스스캔’을 설립하고, 전문경영인으로 전익찬 부사장을 영입했다. 이후 사명도 ‘레드펜소프트’로 바꿨다.
소프트웨어의 자산화부터 관리감독까지 기업의 인식부터 바뀌어야
엑스스캔(X-SCAN)은 처음 레드펜소프트 설립 당시의 회사명인 동시에 핵심 소프트웨어의 이름이다. 회사 이름과 소프트웨어의 이름이 같은 것이 처음에는 좋아보였지만, 사업을 확장하고 해외에 진출할 때 불편한 점이 있어 2022년 2월 ‘레드펜소프트’로 변경했다.
전익찬 부사장은 “보안이 강화된 기관이나 기업에 가보면, 방문하는 사람에 대한 관리가 철저하다”면서, “그런데 소프트웨어는 그런 게 없어서 연구를 시작한 것이 바로 엑스스캔”이라고 설명했다.
“기업이 사용하는 소프트웨어는 3가지 유형중 하나입니다. 첫 번째는 1st 파티로 기업이 직접 개발한 소프트웨어를 말합니다. 직접 개발했기에 소스코드나 취약점 관리를 직접 할 수 있고, SBOM 관리나 공급망 위협에도 대응할 수 있습니다. SI 등 외주 용역을 통해 개발하는 2nd 파티 소프트웨어도 마찬가지입니다. 개발 계약조건에 따라 다르겠지만, 대부분 1st 파티처럼 관리가 가능하죠. 문제는 완제품으로 구입하는 3rd 파티 소프트웨어입니다. 완제품, 즉 상용 소프트웨어이기에 소스코드 관리는 물론 취약점 관리도 거의 불가능합니다. 또한, SBOM 제작과 관리 역시 어렵고, 공급망 위협에 대한 대응 또한 쉽지 않습니다.”
소프트웨어에 대한 가시성 확보도 중요하다. 문제는 기업들 대부분이 소프트웨어를 자산으로 취급하지 않는다는 점이다. 기업에서 사용하는 소프트웨어는 대부분 업데이트가 이뤄지는데, 이 업데이트 관리가 쉽지 않은 것도 문제다. 특히, 업데이트 파일을 대부분 이메일로 주고 받고, 또 그 파일을 이메일로 보관한다. 아울러 최근 소프트웨어 개발 추세를 보면 오픈소스를 엄청나게 사용하는데, 이중 취약점이 발견된 적이 있거나 악용된 오픈소스를 찾아내기 쉽지 않은 것도 문제다.
▲엑스스캔[자료=레드펜소프트]
레드펜소프트는 이러한 문제점들을 해결하기 위해 엑스스캔 기술을 개발했다. 엑스스캔 솔루션을 쉽게 설명하면, 기본 소프트웨어와 패치된 소프트웨어를 비교해 위협이나 의심 가는 내용이 있는지 확인한 후, 문제가 있으면 이를 설치하지 않고 소프트웨어 제조사에 확인하는 방법이다. 예를 들어, 우리가 흔히 사용하는 ‘한글’ 소프트웨어를 처음 구입한 후, PC에 설치하면 보통은 업데이트를 진행한다. 하지만 최초로 설치된 소프트웨어를 기준으로 업데이트 파일을 레드펜소프트의 SW 검증 체계인 ‘Human Intelligence’와 ‘Threat Intelligence’가 분석한 뒤 문제가 없는지 확인하고, 문제가 있다면 그 문제를 제조사와 공유해 확인하는 과정을 거치는 것이다.
“오픈소스 전용 분석툴과 비교하시는 분들도 계신데, 적용대상부터 분석소스, 컴포넌트 분석과 코드사인 인증서 등 전혀 다른 위상의 제품이며 경쟁제품이 아닙니다. 다만, 엑스스캔은 오픈소스 전용 분석툴의 기능 대부분을 갖췄기 때문에 대체가 가능하다는 점을 강조하고 싶습니다.”
최근 국내 기업들이 디지털 전환을 추진하는 상황이라 우선 국내에서 레퍼런스를 만들겠다는 전익찬 부사장은 이후 일본과 싱가포르 등에 진출할 계획이다. 아울러 엑스스캔 초기 제품은 윈도우 기반의 소프트웨어를 타깃으로 하고 있지만, 현재 스마트폰 앱용 제품과 리눅스 제품도 개발 중이기 때문에 고객의 다양한 니즈에도 대응할 수 있을 것이라고 설명했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
