"기업이라면 어디든 사용 중인 소프트웨어(SW)에 오픈소스가 들어 있다고 봐야 한다. 어떤 오픈소스를 쓰는지 알고 그에 따른 문제에 대처할 프로세스를 만들려면 좋은 툴이 필요하다. 우리는 그걸 하려할 때 기존 환경에 부족한 걸 딱 채워주는, 송곳같은 솔루션을 제공한다."
강태진 인사이너리 대표는 지난주 미국 RSA컨퍼런스2019 행사장에서 회사의 바이너리 오픈소스SW 취약점 분석 솔루션의 중요성을 강조하며 이같이 말했다. 그는 지난해에 이어 올해 RSA컨퍼런스에 참가해 신기술 전시장인 '얼리스테이지엑스포'에서 부스를 운영했다.
인사이너리는 오픈소스SW 보안취약점 검증기술 스타트업이다. 회사는 지난 2016년 설립돼 그해 10월 '클래리티'를 내놨다. 클래리티는 소스코드 없이 바이너리 파일에서 추출한 일종의 지문(fingerprint) 정보를 통해, 어떤 오픈소스 구성요소가 쓰였는지 알려주는 솔루션이다.
강태진 대표는 미국 대형 보안전시회 RSA컨퍼런스의 얼리스테이지엑스포 현장에서 기업 IT인프라 세계에서 오픈소스 보안취약점을 확인하는 게 중요한 이유와 이를 수행하는 클래리티 솔루션의 경쟁력을 강조했다. 창업 후 회사의 최근 현황과 올해 사업계획도 함께 언급했다.
인사이너리는 올해 미국 RSA컨퍼런스 얼리스테이지엑스포 참가사 50여곳 중 현장 프리젠테이션까지 진행한 유일한 한국 기반 회사였다. 이미 한국, 중국, 일본에 고객을 확보하고 유럽과 미국 시장으로 확장해 이 분야 세계최고 솔루션 제공자가 되겠다는 비전에 다가가고 있다.
강 대표와 주고받은 문답을 아래에 정리했다.
- 이번 RSA컨퍼런스에 참가한 소감이 궁금하다
"미팅하느라 발표 내용들이 어떻다는 얘긴 할 수 없다. 다만 보안 업계에 오래 있지 않았는데 과거 다녀 본 컨퍼런스와 비교해서 신선했던 점은, 이 쪽은 사람들이 자기들의 일에 대해 굉장한 자긍심을 갖고 있다는 인상을 받았던 거다. 세상은 몰라줘도 우리끼리는 알아 준달까.
이제 IT 없이 돌아가는 세상을 상상할 수 없는데, 해킹이 벌어지면 모든 게 순식간에 망가질 수 있는 상황에서, 그나마 우리가 이 일을 하고 있어서 이나마 세상이 유지된다는 생각이 있는 것 같다. 서로 이런 격려를 하는 것 같아 재미있고 괜찮아 보인다는 생각이 들었다.
우리도 그런 역할에 일조하겠다는 생각이다. 우리것만 갖고 되는 건 아니지만, 오픈소스가 많이 쓰이는만큼 그걸 관리할 때 그동안 부족했던 부분을 딱 보완해 줄 송곳같은 솔루션을 갖고. 어떻게 보면 하는 일은 단순해 보이겠지만 이 분야에선 최고의 솔루션을 제공해서."
- 미국 RSA컨퍼런스 얼리스테이지엑스포(Early Stage Expo)는 어떤 자리인가
"기업들이 보안 분야에 특화된 신기술을 선보이는 자리다. 참가사 대부분은 스타트업이지만, 꼭 스타트업만이 아니라 규모가 큰 회사라도 새로운 기술을 선보일 수 있다. 유럽 쪽에서 강세지만 미국엔 새로 진출하려고 한다든가 하는 회사가 있다."
- 이곳 전시장이 본 행사장과는 다소 떨어져 있어 부스운영에 불리하지 않나
"얼리스테이지엑스포를 찾는 사람들 중에는 큰 회사 소속 IT 또는 보안담당자들이 많다. 미국의 창업투자사 등 투자자들도 있고. 참가사 흥행면에선 본 행사장 전시공간의 외진 위치에 있는 것보다 훨씬 낫다고 본다. 일단 이 쪽에 온 사람들은 한 마디씩이라도 물어 보고 가니까. 어떤 새로운 기술이 나오는지 보기 위해 일부러 본 행사장과는 물리적으로 좀 떨어져 있는데도 일부러 오는 것 같다."
- 이번에 인사이너리는 세션 발표까지 진행하는 것 같은데 어떻게 맡게 된 건가
"지난해에도 지원했는데 안 됐고 이번에 (세션 발표자로) 선정됐다. 아무나 되는 건 아니고 지원했을 때 주최측에서 여기에 선보이는 기술이 유의미하다고 판단하는 곳을 선정하는 것 같다."
- 참석자들 앞에서 진행한 인사이너리 프리젠테이션의 핵심 메시지는 뭐였나
"핵심은 모든 기업이 내부에 쓰이는 SW에 오픈소스를 어떻게 쓰이는지 알고 관리해야 한다는 거다. '우린 오픈소스 안 쓰니까 우리랑 상관 없는 얘기'라는 반응 보이는 이들이 많은데, 그들이 모를 뿐 오픈소스는 어떤 SW에든, 상업용 SW에도 포함돼 있다.
개발자들은 SW 개발할 때 먼저 필요한 기능을 수행하는 오픈소스를 찾는다. 많은 이들의 테스트를 통해 검증된 코드를 쓰면서 시간을 절약하고 거기에 고유 지적재산(IP)이나 차별화 요소를 얹어 제품을 만들기 위해서다. 애플 iOS에도 엄청나게 많은 오픈소스가 들어가 있다.
따라서 SW 사용하는 기업이면 어디든 그중 오픈소스가 포함돼 있을 것이라고 생각해야 한다. 남 얘기로 치부할 게 아니라. 사용 중인 SW에 어떤 오픈소스 코드가 포함돼 있나 알아야 문제가 생겼을 때 대처할 수 있다. 특히 그 대처할 프로세스를 만들려면 좋은 툴이 필요하다."
- 오픈소스 코드의 문제에 대처할 수 없는 기업에겐 어떤 리스크가 있나
"2017년 미국 신용평가사 에퀴팩스가 역사상 5번째로 큰 정보유출사고를 냈다. 회사 전산시스템에 쓰인 오픈소스 웹 프레임워크 '아파치 스트럿츠'에 존재하는, 이미 알려진 취약점 때문에 해킹 공격을 당한 사례였다. 충분히 막을 수 있었던 문제를 막지 못해 벌어진 일이었다.
미국에서 하도 큰 사고로 인식돼 상원 의회에서 두 번이나 청문회가 열렸다. 거기서 에퀴팩스가 해킹 당하기 2개월 전에, 한국으로치면 KISA같은 기관에서 에퀴팩스 쪽으로 스트럿츠 취약점 이슈 가능성이 있으니 확인해보란 공문을 보냈는데도 대처를 못했다는 게 드러났다.
에퀴팩스는 그런 공문을 받았다고 인정은 했지만 '아무리 찾아도 (취약점이 포함된 아파치 스트럿츠 구성요소를 사용중이라는 근거가) 없어서 관련 없는 줄 알았고 대처 안 했다'고 답변했다. 결국 그 회사 CEO, CIO, CTO가 다 물러났고 그 쪽 책임을 묻는 큰 소송도 걸려 있다."
- 에퀴팩스같은 큰 회사가 그런 어설픈 대응을 하게 되는 이유가 뭔가
"해당 사고 자체는 충분히 예상 가능한 유형이지만, 에퀴팩스같은 곳의 사정상 문제 가능성을 알려주는 것만으로는 대처 방법을 찾기 어려운 게 사실이다. 수천대 서버가 운영되고 거기서 수만개 SW가 구동되고 그 SW가 제3자에 의해, IBM이나 EDS같은 데서 제공된 것이라서다.
SW를 공급한 제3자가 충분히 문서화를 잘 해줬겠지만, 그 문서를 보는 것만으로는 실제로 SW 안에 이미 공개된 오픈소스의 취약점 유무를 알기는 쉽지 않았을 것이다. 문서에 '제3자가 공급한 라이브러리를 사용했다'는 내용이 있었겠지만 그게 또다른 라이브러리를 썼을 수 있다.
SW에 포함된 코드가 연쇄적으로 다른 라이브러리를 써서, 의존성(dependency)이 층층이 형성될 수 있다. 한 다섯 층 정도 아래에 어떤 오픈소스가 사용됐다고 치면, 최종적인 SW 사용자가 그걸 알기는 힘들다.
SW공급자가 개발 결과물의 실제 코드를 직접 제공했더라도, 그 기반이 되는 오픈소스를 제공하지 않았을 수 있다. 그럼 못 찾는 거다. 소스코드 스캐너같은 도구를 써서 의존성을 확인하려 해도, 개발 결과물의 코드에서 스캐너가 모든 라이브러리를 찾아낼 수 없는 경우도 있다."
- 인사이너리의 기술을 사용하면 다른가
"인사이너리는 소스코드가 아니라 최종 실행파일만 본다. 거기 있는 특정 패턴을 갖고 어떤 오픈소스의 패턴과 맞는지 대조한다. 알려진 오픈소스의 패턴을 데이터베이스화해놓았고, 그와 대조된 실행파일 속의 패턴으로 어떤 오픈소스의 어느 버전이 쓰였겠구나 알아낸다.
우리의 기술로 찾아낸 오픈소스 사용 결과가 100% 정확하다고 장담하진 않는다. 하지만 벤치마크 테스트를 해 보면 기성 솔루션과 우리 제품을 비교했을 때, 고객들이 적어도 10배 이상 더 정확하게 잘 찾아낸다는 결과를 얻기 때문에 우리 솔루션이 쓸만하다고 평가하고 있다."
- 미국 고객이 있나
"미국의 아메리칸컨슈머인스티튜트(ACI)라는 워싱턴D.C. 소재 소비자단체가 우리 툴을 유료로 사용중이다. 우리 툴을 활용해 구글 플레이스토어 43개 카테고리별 인기 앱 10개, 도합 430개에서 우리 솔루션으로 취약점을 스캔해 그 결과를 발표한 걸로 언론의 주목을 받았다.
또 ACI는 인터넷에서 내려받을 수 있는, 주요 제조사 무선인터넷공유기 펌웨어 500종에서도 취약점을 찾았다. 스캔 대상 절반에서 취약점이 발견됐고 그 절반은 굉장히 심각한 취약점이었다는 조사 결과를 또 내놨다. 이게 미국 지디넷에서 보도된 후 일본, 중국에도 알려졌다."
- 현재 진행된 사업 현황과 구상 중인 미국 시장 진출 전략을 들려 달라
"현재 R&D는 한국에서 하고, 고객은 주로 한국, 중국, 일본 등에 있다. 현지 리셀러가 활동하고 있어 우리는 한국에서 세일즈 지원 또는 고객 지원을 하는 상황이다. 유럽에선 대형 컨설팅회사 베어링포인트가 파트너 역할 하면서 현지 대형 고객을 우리에게 소개해 주고 있다.
2016년 창업해 만 3년 돼 간다. 한국에서 나를 포함해 풀타임 인력 18명이 일하고 있다. 미국 오피스를 운영할 예정이다. 이미 현지 법인을 설립해 놨고 인력을 채용 중인데, 많아야 핵심 인력 3~4명 규모로 시작할 것이다. 다만 물리적인 사업장을 두는 게 필요할지는 모르겠다.
미국에선 현재 영입하려고 상의하는 인재들이 지역적으로 흩어져 있다. 시작은 (원격으로) 가상오피스처럼 운영하고, 고객이 많아지고 회사가 커지면 물리적 거점 마련을 검토할 생각이다.
우리 제품을 홍보하고 데모를 진행하기 위해 최근 '마케팅액셀러레이터' 유형의 업체와 계약했다. 우리처럼 아직 미국에 거점을 만들지 않은 회사를 대신해 유저네트워크를 보유하고 마케팅 활동을 지원해 주는 곳이다.
엔터프라이즈 SW의 세일즈 주기는 굉장히 길다. 지금도 미국 한 대형 고객은 1년동안 테스트하며 피드백을 주고 있다. 큰 돈을 써서 하는 마케팅보다는 무료로 솔루션을 제공해 개발자들이 먼저 쓰게 하고, 그걸 안 기업이 이후 제대로 구매하도록 유도하는 방식을 검토 중이다.
또 우리 솔루션과 관련된 주변 기능을 제공하는 큰 회사들이 있다. 그런 솔루션에 OEM으로 들어 가는 방법도 있다. 비어 있는 부족한 부분에 필요한 역할로, 다른 제품의 부품으로 들어가는 거. 어떻게 보면 빠른 시간에 많은 고객, 매출 확보하고 성장할 기회가 될 수 있다."
관련기사
- "구글플레이 인기 앱 105개서 보안취약점 발견"2019.03.11
- "오픈소스 보안 취약점 발견도 블록체인으로"2019.03.11
- NDS, 파나소닉과 오픈소스 보안솔루션 사용 계약체결2019.03.11
- "한국 아파치 스트럿츠 취약점 관리상황 심각"2019.03.11
- 누적 투자규모나 고객 확보 등 조만간 알릴 수 있는 성과가 있는지
"연내, 이르면 상반기 중 2~3곳의 큰 회사와 체결한 계약을 발표할 수 있을 것 같다. 이전부터 우리를 (긍정적으로) 봐 왔던 회사라(낙관하고 있다). 투자자들도 만나고 있다. 설립 이래 60억(원)정도 투자받았다. 앞으로 500만~1천만달러 정도 추가 투자 유치를 목표로 한다."