ISEC 2022 키노트 강연에서 ‘오픈소스 취약점 분석도구 6종’의 성능평가 발표
인지도나 시장 점유율 높다고 최적의 솔루션은 아냐...사용자 니즈에 맞는 솔루션 찾아야

[보안뉴스 원병철 기자] 카이스트(KAIST) 사이버보안연구센터와 보안뉴스가 손잡고 보안솔루션 성능평가를 추진한다고 밝혔다. 그 첫 번째 순서로 ISEC 2022 키노트 강연에서 카이스트 사이버보안연구센터 신강식 연구원이 ‘오픈소스 취약점 분석도구 6종’의 성능평가 결과를 공유했다.


오픈소스는 소스코드를 공개하고 사용 제한 금지와 자유배포, 사용자 차별 금지 등 오픈소스 라이선스를 만족하는 것을 말한다. 오픈소스는 다양한 곳에서 사용되고 있으며, 최근 이슈인 빅데이터나 인공지능, 머신러닝 등에서도 활발하게 활용되고 있다. 해외시장에서 연평균 16.4% 성장률을 보이고 있으며, 국내시장에서도 18.2%의 연평균 성장률로 시장이 크게 확대되고 있다.

하지만 하트블리드(Heartbleed)나 로그4j(Log4j)와 같은 오픈소스 취약점 사례가 계속 발생하면서 안전성과 보안성을 강조하는 사용자들이 늘고 있다. 다만 개발자들이 일일이 취약점을 식별하고 관리할 수 없기 때문에, 오픈소스의 보안 취약점을 분석하고 찾아낼 수 있는 SCA(Software Composition Analysis)에 대한 니즈가 급속도로 증가했고, 다양한 제품들이 시장에 등장했다.

이와 관련 신강식 연구원은 “수많은 SCA 도구 중 설문조사를 통해 6개를 선정했고, 보다 효과적인 성능 분석을 위해 3개 카테고리와 10가지 분석기준을 마련했다”면서, “또한, 평가를 위한 오픈소스도 깃허브 최상위에 랭크된 7개의 언어를 선택하고, 여러 오픈소스 중 10개를 선정했다”고 설명했다. “결론적으로 인지도나 시장 점유율이 높은 솔루션이, 기업에서 필요로 하는 최적의 SCA는 아니었습니다. 도구마다 특색과 장단점이 달랐기 때문에 사용자의 니즈에 맞는 SCA를 선택하는 것이 더 중요했습니다. 기업과 기관 역시 다양한 OSS 활용에 따라 성능시험을 통한 최적의 SCA를 선정하는 것이 필요해 보입니다.”

한편, 발표가 끝난 후 보안뉴스 권준 편집국장은 “이번 발표에서는 분석한 6종의 제품 브랜드를 오픈하지는 않았지만, 대신 기업에서 취약점 분석도구을 도입할 때 필요하다면 브랜드별 평가기준과 평가결과를 기업들에게 제공할 것”이라면서, “앞으로도 보안뉴스와 카이스트 사이버보안연구센터는 성능평가가 필요한 여러 보안 솔루션들을 선정해 객관적인 평가를 진행함으로써 보안담당자가 제품이나 솔루션을 선택하는 데 도움을 드릴 수 있도록 하겠다”고 말했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>