국내 SCA 선도업체 인사이너리 강태진 대표
구성요소 샅샅이 살피는 SCA
해킹 시도 늘어난 챗GPT시대
기관·기업에 보안 솔루션 제공
2026년 이후 조단위 성장 전망
사진 확대
벨기에 국방부는 2021년 12월 오픈소스 소프트웨어인 'Log4j'를 활용한 해킹 공격을 당해서 업무가 일시적으로 중단됐다. Log4j가 이미 해커의 타깃이 됐다는 것을 알았음에도 벨기에 국방부가 곧바로 대응하지 못했던 것은 자신들이 사용하는 시스템에 문제가 되는 OSS가 존재한다는 걸 알지 못했기 때문이다. '알고도 당하는' 해킹이 발생한 셈이다.
이같이 누구에게나 개방되는 아파치, Log4j, 유닉스, 안드로이드 등 오픈소스가 해킹의 온산지가 되고 있다.
앞선 벨기에 국방부 사례뿐만 아니라 2017년 미국 3대 신용평가사 에퀴팩스는 '아파치 스트러츠'란 오픈소스 프로그램을 쓰다 해킹을 당해 고객 개인정보가 유출됐고, 결국 7억달러에 달하는 피해보상·벌금을 물게 됐다. '만능박사'인 챗GPT가 나오면서 오픈소스를 활용한 해킹 시도가 더 많아질 것이란 관측도 나온다.
오픈소스 해킹이 무서운 이유는 누구나 개발·수정·배포가 가능한 오픈소스 특성상 특정 오픈소스가 어떤 경로로 유입됐는지 알 수 없다는 데 있다. 개발자는 오픈소스를 통해 상당수의 소프트웨어를 개발하고 있는데, 개발 단계가 진행되면서 오픈소스가 매 단계 덧씌워지다 보니 특정 소프트웨어 코드가 도대체 어디서 유래됐는지를 최종 결과물만 봐서는 모르는 경우가 많다. 그래서 벨기에 국방부, 에퀴팩스 등 몸집이 큰 기관들도 특정 오픈소스가 문제가 있었다는 점을 당시 알고 있었음에도 대처하지 못하고 해킹에 당하게 된 것이다.
그래서 필요한 기술이 바로 SCA(Software Composition Analysis)다. SCA는 소프트웨어 내에 어떤 오픈소스들이 있는지, 그 구성품(Composition)을 현미경처럼 들여다보는 기술이다. 국내 SCA 선도 업체인 인사이너리의 강태진 대표(사진)는 "오픈소스를 현미경처럼 들여다봐야 오픈소스 관리, 보안 등을 종합적으로 해나갈 수 있다"고 밝혔다.
SCA 기술은 미국에서 최근 주목받고 있다. 조 바이든 미국 행정부가 2021년 소프트웨어 공공조달 시 SBOM(Software Bill of Materials·소프트웨어 구성 요소 목록) 제출을 권고하면서 많은 소프트웨어 기업들이 SBOM 기준을 맞추기 위해 SCA 기술을 도입하고 있기 때문이다. 인사이너리가 미국 IT 대기업인 시스코에 자사 SCA 기술인 '클래리티'를 공급하고 있는 것이 대표적인 예다. 이 밖에도 이스라엘 출신 창업자가 2015년 설립한 SNYK는 기업 구매팀이 아니라 개발자에게 직접 SCA 기술을 판매하는 전략을 세우며 지난해 1억2220만달러의 매출을 올렸고, 그 덕분에 기업가치도 80억달러에 달하게 됐다. SNYK뿐만 아니라 미국 시장에선 시놉시스, 멘드, 베라코드, 소나타입 등 다른 업체들도 두각을 나타내고 있다. 그 덕분에 막 태동하기 시작한 전 세계 SCA 시장 규모는 2026년 이후 '연간 조 단위'로 성장할 전망이다.
국내에서도 SCA 기술이 유망해질 전망이다. 과학기술정보통신부는 내년까지 110억원을 투자해 SBOM 시스템을 구축할 계획이다.
한국에서는 SBOM을 위한 SCA 기술 업체로 인사이너리가 대표 주자로 꼽힌다. 삼성전자와 KT에서 임원(전무)을 역임했던 강태진 대표는 단순히 기존 소스코드 기반으로 구성 요소를 찾는 것을 넘어서 소스코드가 없어도 오픈소스가 해당 소프트웨어에 포함됐는지를 지문(패턴)을 통해 알려주는 바이너리 기반 SCA 기술을 개발했다.
구성요소 샅샅이 살피는 SCA
해킹 시도 늘어난 챗GPT시대
기관·기업에 보안 솔루션 제공
2026년 이후 조단위 성장 전망
이같이 누구에게나 개방되는 아파치, Log4j, 유닉스, 안드로이드 등 오픈소스가 해킹의 온산지가 되고 있다.
앞선 벨기에 국방부 사례뿐만 아니라 2017년 미국 3대 신용평가사 에퀴팩스는 '아파치 스트러츠'란 오픈소스 프로그램을 쓰다 해킹을 당해 고객 개인정보가 유출됐고, 결국 7억달러에 달하는 피해보상·벌금을 물게 됐다. '만능박사'인 챗GPT가 나오면서 오픈소스를 활용한 해킹 시도가 더 많아질 것이란 관측도 나온다.
오픈소스 해킹이 무서운 이유는 누구나 개발·수정·배포가 가능한 오픈소스 특성상 특정 오픈소스가 어떤 경로로 유입됐는지 알 수 없다는 데 있다. 개발자는 오픈소스를 통해 상당수의 소프트웨어를 개발하고 있는데, 개발 단계가 진행되면서 오픈소스가 매 단계 덧씌워지다 보니 특정 소프트웨어 코드가 도대체 어디서 유래됐는지를 최종 결과물만 봐서는 모르는 경우가 많다. 그래서 벨기에 국방부, 에퀴팩스 등 몸집이 큰 기관들도 특정 오픈소스가 문제가 있었다는 점을 당시 알고 있었음에도 대처하지 못하고 해킹에 당하게 된 것이다.
그래서 필요한 기술이 바로 SCA(Software Composition Analysis)다. SCA는 소프트웨어 내에 어떤 오픈소스들이 있는지, 그 구성품(Composition)을 현미경처럼 들여다보는 기술이다. 국내 SCA 선도 업체인 인사이너리의 강태진 대표(사진)는 "오픈소스를 현미경처럼 들여다봐야 오픈소스 관리, 보안 등을 종합적으로 해나갈 수 있다"고 밝혔다.
SCA 기술은 미국에서 최근 주목받고 있다. 조 바이든 미국 행정부가 2021년 소프트웨어 공공조달 시 SBOM(Software Bill of Materials·소프트웨어 구성 요소 목록) 제출을 권고하면서 많은 소프트웨어 기업들이 SBOM 기준을 맞추기 위해 SCA 기술을 도입하고 있기 때문이다. 인사이너리가 미국 IT 대기업인 시스코에 자사 SCA 기술인 '클래리티'를 공급하고 있는 것이 대표적인 예다. 이 밖에도 이스라엘 출신 창업자가 2015년 설립한 SNYK는 기업 구매팀이 아니라 개발자에게 직접 SCA 기술을 판매하는 전략을 세우며 지난해 1억2220만달러의 매출을 올렸고, 그 덕분에 기업가치도 80억달러에 달하게 됐다. SNYK뿐만 아니라 미국 시장에선 시놉시스, 멘드, 베라코드, 소나타입 등 다른 업체들도 두각을 나타내고 있다. 그 덕분에 막 태동하기 시작한 전 세계 SCA 시장 규모는 2026년 이후 '연간 조 단위'로 성장할 전망이다.
국내에서도 SCA 기술이 유망해질 전망이다. 과학기술정보통신부는 내년까지 110억원을 투자해 SBOM 시스템을 구축할 계획이다.
한국에서는 SBOM을 위한 SCA 기술 업체로 인사이너리가 대표 주자로 꼽힌다. 삼성전자와 KT에서 임원(전무)을 역임했던 강태진 대표는 단순히 기존 소스코드 기반으로 구성 요소를 찾는 것을 넘어서 소스코드가 없어도 오픈소스가 해당 소프트웨어에 포함됐는지를 지문(패턴)을 통해 알려주는 바이너리 기반 SCA 기술을 개발했다.