화이트소스(WhiteSource)라는 오픈소스 소프트웨어(SW) 보안 테스팅 툴이 국내 출시됐다.
임베디드보안솔루션업체 쿤텍(대표 방혁준)은 화이트소스 보안솔루션을 국내 출시하기로 했다고 14일 밝혔다. 이를 통해 최근 SW개발 프로세스를 가속하는 '데브섹옵스(DevSecOps)' 또는 '지속보안(continuous security)' 수요 증가에 대응한다는 메시지를 내놓고 있다.
화이트소스는 기업내 SW개발환경에 가져온 오픈소스SW 코드의 보안취약점과 버그를 찾아 준다. 실시간 갱신되는 취약점DB를 기반으로, 오리지널 프로젝트에서 해당 문제가 해결된 버전, 링크, 패치, 시스템구성 변경 권장사항, 특정기능 차단 등 여러 조치 방법을 제공한다.
방혁준 쿤텍 대표는 "오픈소스가 IoT나 ICT융합이 되면서 이를 활용하는 기업 조직 대부분은 오픈소스 라이선스, 보안, 품질 관리와 현황파악을 못하는 실정"이라며 "저작권위반 소송을 당하거나 보안취약점으로 기업 피해를 입는 사례가 늘어 이제 라이선스, 취약점 파악, 보안관리를 종합 고려해야 할 시점"이라고 강조했다.
설명대로라면 고려대학교 IoT SW보안국제공동연구센터(CSSA)에서 국제공동연구 프로젝트로 만들어 운영중인 온라인 코드분석툴 'IoT큐브(IoTCube)'의 화이트박스 테스팅 항목에 탑재된 취약코드복제(VCC)탐지 자동화 기술과 비슷한 기능을 제공한단 뜻이다. [☞관련기사]
IoT큐브는 C/C++ 코드만 지원한다는 제약이 있지만, 화이트소스는 파이썬과 자바 등 다른 주류 프로그래밍 언어를 지원한다. 또 화이트소스는 상용툴인만큼 개발자, QA, 보안담당자, 법무팀 사용자를 위한 보고서 및 통계 등 편의기능과 다른 개발툴 연동 플러그인도 지원한다.
화이트소스를 개발한 회사는 동명의 스타트업이다. 개발사 화이트소스는 이스라엘과 미국에 연구소를 둔 회사로 마이크로소프트(MS) 투자를 받았고 지난해 포레스터웨이브 오픈소스보안보고서에서 'SW컴포지션분석' 분야 유력제품(Strong Performers)으로 꼽혔다.
제품을 국내 출시한 쿤텍에 따르면 화이트소스 테스팅툴의 강점은 오탐(False Positive)을 최소화하는 고유기술이다. 개발자가 일일이 검토할 필요를 없애고 애플리케이션수명주기관리(ALM)도구 통합지원기능으로 툴을 개발팀의 업무 사이클에 통합되게 해준다는 설명이다.
쿤텍에 따르면 화이트소스 툴은 디지털서명 비교방식을 사용해 기존 코드스캔 방식 제품의 분석시간, 지연, 오탐 단점을 극복했다. 금융SW업체 '테메노스'가 화이트소스를 데브섹옵스 최적 오픈소스 관리툴로 도입한 고객사례라고 소개했다.
관련기사
- 수천만줄 SW 보안결함 클릭 몇번으로 찾아2018.02.14
- 데브옵스, 2018년의 '빅딜' 될까2018.02.14
- SW개발보안 경진대회, 경기대-아주대팀 대상2018.02.14
- 피보탈 "데브옵스, 문제는 툴이 아니라 체계와 경험"2018.02.14
쿤텍 오픈소스보안 수석컨설턴트 유창수 팀장은 "화이트소스는 라이선스 및 품질을 한 도구로 지원하는 편리한 환경을 제공한다"며 "서비스형SW(SaaS)와 설치형SW 제품을 모두 공급해 국내 고객 데브섹옵스 환경에 통합 운영되게끔 지원하는 데 주력하겠다"고 말했다.
쿤텍은 2016년 설립된 스타트업으로 커넥티드카, 스마트공장 등에 필요한 임베디드 보안SW 기반 제품을 개발하고 서비스를 제공한다. IoT를 포함한 ICT융합보안 취약점 점검체계, 마이크로컨트롤러(MCU)와 주변장치 등 임베디드시스템 시뮬레이션, 고객맞춤 교육 및 서비스 제공 비즈니스를 수행하고 있다.