코드마인드, 오픈소스 관리 도구 ‘Hatter SCA’ 출시

소프트웨어 부품명세서(SBOM)로 사이버 보안 강화

소프트웨어 검증 전문기업 코드마인드(대표 김은중, 신승철)가 오픈소스 관리 도구 해터 SCA(Hatter Software Composition Analysis)를 출시했다고 25일 밝혔다.

해터 SCA는 개발한 소프트웨어의 구성요소를 식별하고 소스코드와 바이너리 파일에 포함된 오픈소스 소프트웨어를 파악하여 오픈소스의 보안취약점을 검출하고 관련 라이선스 정보를 함께 제공하여 사용자가 라이선스 정책 위반 여부를 쉽게 확인할 수 있게 해준다. 그리고 식별 또는 검출한 모든 정보를 SBOM(Software Bill of Materials, 소프트웨어 부품명세서)과 함께 상세히 제공하여 오픈소스SW 공급망을 강화하고 오픈소스 사용에 따른 리스크를 안전하게 관리할 수 있도록 도와주는 관리 도구이다.

정보통신산업진흥원이 발간한 ‘2021 오픈소스SW(OSS) 실태조사 보고서’에 따르면 오픈소스를 활용한 소프트웨어 개발이 보편화되면서 개발 과정에서 오픈소스를 사용하는 비율이 60% 이상이라고 한다. 오픈소스를 사용하면 개발에 소요되는 시간과 비용을 줄일 수 있기 때문이다. 하지만 오픈소스는 상용 소프트웨어와 달리 공개된 소스코드가 기반이기 때문에 취약점도 노출될 가능성이 있다. 그리고 라이선스 관리를 꾸준히 주기적으로 하지 않으면 오픈소스 라이선스 위반으로 인한 법적 분쟁까지 발생할 수도 있다. 이러한 점을 감안하면, 오프소스 활용에 따른 보안 위협과 라이선스 위반과 같은 리스크를 줄여줄 수 있는 솔루션 도입이 필요하다.

해터 SCA는 이러한 문제를 사전에 방지하고 대응할 수 있도록 도와주는 오픈소스 관리 도구이다. 오픈소스를 사용하는 기업이나 기관의 입장에서는 현재 사용 중인 오픈소스를 보다 안전하고 효율적으로 관리하는 유용한 도구인 셈이다.

2020년 이후 아파치 로그포제이(Apache Log4j)와 같은 각종 대규모 사이버 위협이 심심치 않게 발생하고 있다. 사이버 위협이 야기하는 피해가 무시할 수 없는 중대한 사안인 만큼, 이에 미 바이든 행정부는 2021년 발표한 행정명령에 따라 소프트웨어 자재 명세서(SBOM) 제출을 의무화했다. 이에 따라 국내에서도 SBOM을 요구하는 기업과 기관이 늘어나는 추세다. 신승철 코드마인드 대표는 “소스코드 및 바이너리 분석 기술을 활용하여 개발된 해터 SCA가 앞으로 오픈소스 보안 위협을 방지하고 국내 사이버보안 역량을 강화하는데 큰 도움이 될 것”이라고 말했다.