top of page
NEWS
BlackHat Asia 2017
- Black Duck(블랙덕) 인터뷰
April 4, 2017
BlackHat Asia 2017 컨퍼런스에서, 데일리시큐의 요청으로 Black Duck(블랙덕) 인터뷰를 현장에서 통역했다. 오픈소스에 대한 라이선스 관리와 보안 취약점 관리를 위한 엔드-투-엔드 오픈 소스 보안 체계를 제공하고 있는 부분을 차근히 풀어나간 인터뷰 내용을 공유한다.
[BlackHat Asia 2017 핫 이슈]
블랙덕 - "오픈소스 보안취약점 방치했다간 ..."
"오픈소스에 대한 전반적인 보안관리 제대로 못하는 기업이 아직 많아"
▲ 블랙덕 APAC 총괄 Eno Chem (이노 첸)
3월 28일부터 31일까지 싱가포르 마리나 베이 샌즈에서 개최된 블랙햇 아시아(BlackHat Asia) 2017 현장에서 오픈소스 보안취약점 관리로 유명한 블랙덕(Black Duck) 관계자를 만날 수 있었다.
최근 모바일과 IoT 앱 등 오픈소스를 활용한 개발이 엄청난 속도로 증가하고 있다. 이는한국뿐만 아니라 전세계적인 현상이다. 이에 오픈소스 보안취약점과 라이선스 관리가 기업의 보안화두가 되고 있다. 데일리시큐는 블랙덕 APAC 총괄 이노 첸(Eno Chen)과 인터뷰를 통해 오픈소스 보안 관리에 대해 좀더 깊이 있게 알아보는 시간을 가졌다.
통역 도움 = 권영목 파고네트웍스 (PAGO Networks) 대표.
다음은 그와의 인터뷰 내용이다.
◆ 블랙덕(Black Duck)에 대한 간략한 소개를 부탁한다
블랙덕은 오픈소스 코드를 사용하는 고객들을 위해 존재한다.
오픈소스를 사용하는 대부분 고객들은 두 가지 이슈를 가지고 있다. 이 고민거리를 해결해 주는 것이 블랙덕의 주요 역할이다.
첫번째 이슈는 ‘오픈소스 라이선스 컴플라이언스’ 부문이다. 라이선스 관리에 대한 법적인 영역과 연결된다. 승인된 오픈소스가 어디에서 얼마나 사용되는지, 승인되지 않은 오픈소스가 존재하는지를 체크 해야만 한다.
두번째 이슈는 ‘오픈소스 보안 취약점’ 부문이다. 예를 들어, 하트블리드(HeartBleed) 취약점을 보자. 2014년 초에 발견된 오픈소스 소프트웨어의 취약점 이슈를 단적으로 보여준다. 만약 보안관리자 또는 개발자가 이 취약점을 발견하지 못한다면, 기업에는 치명적인 취약점을 내포한 오픈소스 소프트웨어를 계속 사용될 수 밖에 없다. 개발자들은 계속 오픈소스를 사용하기 때문에 기업에서 개발되는 소프트웨어는 지속적으로 취약점에 노출되는 것이 현실이다.
블랙덕은 이런 두 가지 고객사의 이슈를 해결하기 위해 오픈 소스에 대한 ‘라이선스 관리’와 ‘취약점 관리’ 영역으로 제품을 제공하고 있으며 많은 고객들이 이미 사용 중이다.
◆ 블랙덕의 전반적인 기술 설명을 부탁한다
블랙덕 제품은 오픈소스 영역만 관여하는 제품이다. 블랙덕은 소스코드를 프로젝트 기반으로 관리한다. 소스코드를 선택하면 어떤 오픈소스 컴포넌트가 존재하는지 식별하고 라이선스 정보와 취약점 정보를 함께 제공한다.
대쉬보드에는 복수의 프로젝트 기반으로 생성되며 동시에 소스코드 스캐닝을 지원한다. 스캐닝 이후, 애플리케이션에 대한 전반적인 포트폴리오가 계산된다. 더불어 특정 프로젝트를 상세히 드릴-다운 하는 방법론을 제공한다. △고급 레벨 보안 리스크 △특정 버전의 프로젝트 존재 여부 체크 △라이선스 정보, 취약점 정보, 컴포넌트의 에이징 정보 자동 추출 등을 제공한다.
최근 이슈가 된 오픈소스 아파치 스트럿츠(Apache Struts) 취약점에 대해서는 블랙덕을 사용하는 고객들에게 관련된 특정 버전 정보를 식별하고 빠른 정보를 제공함으로써 신속하게 취약점을 해결할 수 있도록 지원했다.
블랙덕은 NVD 취약점 데이터베이스도 연동되지만, 블랙덕 자체적으로 취약점 데이터베이스를 지속적으로 업데이트하는 기반을 제공한다. 현재 블랙덕 자체적으로 분석한 7만개 이상의 단독 오픈소스 기반 취약점 데이터베이스는 NVD 취약점 데이터베이스에도 등록되지 않은 정보들이다.
블랙덕을 이용해서 오픈소스에 대한 보안취약점이 발견될 경우, 취약점이 존재하지 않는 이전 버전 정보 또는 현재 취약점을 해결하고 릴리즈된 버전 정보 등을 함께 제공해 조치에 대한 가이드를 제시한다.
또 고객들과 기술 미팅을 하면 알려지지 않은 오픈소스 취약점에 대한 대응방안에 대한 질의를 많이 한다. 블랙덕은 다른 경쟁 제품과 달리 단지 알려진 취약점 정보를 제공해 주는 NVD 데이터베이스만 사용하는 것이 아니라 블랙덕 내부적으로 별도의 보안 리서치팀을 구축해 오픈소스 기반 취약점 데이터베이스를 지속적으로 발견하고 유지 관리하고 있다.
즉 알려지지 않은 취약점을 찾아내기 위한 활동을 하고 있는 것이다. 현재 NVD에 존재하지 않는 7만개 이상의 단독 보유한 취약점 정보를 이용해 알려지지 않은(Un-known) 취약점에 대응하고 있다. 물론 신규 취약점은 지속적으로 발생할 것이며, 블랙덕도 이에 상응하는 활동을 계속 해 나갈 것이다.
◆ 모바일 또는 IoT 개발에 오픈소스가 많이 사용되는데, 이런 개발 분야에서도 블랙덕을 많이 사용하고 있는가
블랙덕은 크로스 마켓을 지향하고 있다. 오픈소스는 모든 산업 분야의 개발 프로젝트에서 사용되고 있으며 당연히 모바일 및 IoT 개발에도 사용되고 있다. 사실 어떤 고객들은 개발된 애플리케이션에 오픈소스 코드가 사용되었는지 조차도 모르는 고객들이 상당수 있다. 이를 위해 블랙덕을 적용하면 어떤 오픈소스 컴포넌트가 사용되었는지 식별할 수 있고 오픈소스 보안취약성 점검까지 제공받을 수 있다. 결과적으로 블랙덕은 모바일과 IoT 개발 프로젝트를 포함해 모든 분야에서 사용된다.
◆ 블랙덕 제품을 도입하기 이전, 고객들은 오픈소스에 대한 보안 관리를 어떻게 하고 있었나
블랙덕 도입 이전에는 취약점 관리 상용 제품을 사용하는 경우도 있었지만 오픈소스에 대한 전반적인 관리를 제대로 못하는 경우가 많았다. 또 인력으로 수동 보안 관리를 하는 경우에는 NVD(National Vulnerability Database)를 지속적으로 모니터링하고 오픈소스에 사용된 컴포넌트의 취약점 관리를 수동으로 하고 있었다.
2014년 초에 하트블리드(HeartBleed) OpenSSL 취약점이 발생했을 때, 어떤 상황이 발생했는지 기억하는가? 많은 고객사가 뉴스 및 온라인으로 심각성을 인지했고 적당한 제품이 없었던 고객들은 수동으로 어떻게 조치해야 하는지 조차 모르는 상황이 발생했었다. 만약 블랙덕을 사용하고 있었다면 이용자들은 실질적인 정보를 빠르게 전달받을 수 있었을 것이다.
◆ 블랙덕은 언제부터 APAC에서 사업을 시작했나
비즈니스를 시작한 것은 상당히 오래됐다. 초창기에는 오픈소스의 라이선스 컴플라이언스에 집중했었다. 한국에서도 라이선스 컴플라이언스 비즈니스부터 시작했었다. 2014년부터 오픈소스 보안 분야에 좀 더 집중하는 비즈니스를 진행 중이다. 현재는 고객사에서도 오픈소스 보안 분야의 동반자로서 블랙덕을 더 많이 선택하고 있다.
◆ APAC 시장 점유율은 어느 정도인가
현재 APAC에서의 블랙덕 시장은 빠른 속도로 성장하고 있다. 고객들이 오픈소스 사용 빈도가 점점 더 많아지고 있고 오픈소스 보안 취약점에 대한 인식이 더욱 높아지고 있다는 부분들이 블랙덕 성장에 상당히 기여하고 있다.
APAC에서 가장 큰 블랙덕 시장은 일본이고 그 다음이 중국과 인도다. 중국은 알리바바와 텐센트 그리고 대형 은행 등을 고객으로 보유하고 있고, 오픈소스 보안 취약점을 식별하고 해결하기 위한 목적으로 블랙덕을 사용하고 있다. 올해 들어 싱가폴에서도 대형 공공기관이 블랙덕을 도입했다.
한국에서는 삼성, LG도 블랙덕의 고객이다. 한국의 오픈소스 라이선스 관리 시장은 90% 정도의 시장점유율을 보유하고 있으며 최근 오픈소스 보안과 함께 고객사 발굴에 집중하고 있다.
[글. 정보보안 대표 미디어 데일리시큐 - 길민권 기자 mkgil@dailysecu.com]
O 원문 기사 링크 --> 데일리시큐 [BlackHat Asia 2017 핫이슈] 블랙덕 - "오픈소스 보안 취약점 방치했다간 ..."
PAGO Networks, Inc.
사업자등록번호 : 474-86-00694 | 대표 : 권영목
본사 / 영업본부
서울시 용산구 회나무로65 (이태원동 경리단길)
파고 DeepACT 매니지드 탐지 및 대응 센터
서울시 용산구 회나무로65 (이태원동 경리단길)
-
사일런스(Cylance)
- Master MSSP & Distributor
-
스텔라사이버(Stellar Cyber)
- MSSP Partner
-
센티넬원(SentinelOne)
- Master MSSP(MSSP Distributor)
- Incident Response Partner
-
브이엠레이(VMRay)
- South Korea & APAC Distributor
bottom of page