본문 바로가기

Home > 정보마당 > 공개SW 활용 성공사례

공개SW 활용 성공사례

해외에서 먼저 인정받은 국내 SCA 선도업체 인사이너리와 클래리티

 

- Open UP -

 

• 전 세계 SCA 시장 규모는 향후 5년간 급속히 확대될 것으로 예상

• 다양한 플랫폼과 운영체제, 개발 환경을 지원하는 바이너리 SCA 솔루션‘클래리티’개발

• 미 연방정부 내 12개 고객 및 시스코, 에이수스 등 글로벌 IT 기업 고객사 보유

 

인사이너리 클래리티 로고

 

◈ 오픈소스와 SCA(Software Composition Analysis)

 

전 세계 누구나 쉽게 소스 코드를 공유하고 이를 수정하고 재배포할 수 있는 등 많은 장점을 제공하는 오픈소스 덕분에 개발자들은 새로운 소프트웨어를 개발할 때, 처음부터 끝까지 모든 것을 직접 구현하는 것이 아니라 다른 사람들이 공유한 오픈소스를 활용해 빠르게 원하는 기능을 구현할 수가 있다. 하지만 이러한 장점 이면에는 그만큼 주의해야 하는 부분도 있다. 예를 들면 소스 코드는 일반적으로 오픈소스 방식으로 배포되는데, 누구라도 쉽게 코드에 접근하고 분석할 수 있어서 여기에 보안 취약점이 있다면, 이런 취약점을 이용한 공격에 직면할 수 있다. 더 나아가 만약 사용한 오픈소스가 GPL(General Public License)과 같은 까다로운 라이선스로 배포될 경우, 이를 이용해 개발한 상품의 소스 코드 또한 공개해야 하기에, 향후 복잡한 라이선스 문제, 혹은 소송에 휘말릴 수도 있다.

따라서 오픈소스의 사용이 점차 증가하고 있는 최근의 개발 환경과 서비스 환경에서 소스 코드에 대한 분석을 통해 어떤 오픈소스로 구성되었는지 파악하기 위한 SCA(Software Composition Analysis)에 대한 관심이 높아지고 있다. SCA는 소프트웨어 내에 어떤 오픈소스들이 있는지, 그 구성품(Composition)을 현미경처럼 들여다보는 기술이다.

 

◈ 복잡한 오픈소스 보안 환경에서 SCA의 역할

 

오픈소스 보안에서 가장 먼저 필요한 것은 조직 내에서 어떤 오픈소스를 사용하고 있는지 파악하는 것으로 자체 개발한 소프트웨어, 혹은 외부에서 개발해 납품한 소프트웨어에 어떤 오픈소스가 있으며, 이들이 어떤 보안 취약점을 포함하고 있는지 파악하는 것이 가장 먼저 이뤄져야 한다. SCA가 바로 이런 역할을 하는 보안 기술이다. 예를 들면 현재 배포를 준비 중이거나, 혹은 운영 중인 소프트웨어에 어떤 오픈소스 컴포넌트가 적용되어 있으며, 이 컴포넌트가 어떤 버전인지를 파악하고, 이를 NVD(National Vulnerability Database)와 같은 CVE(Common Vulnerabilities and Exposures) 데이터베이스를 이용해 문제점을 찾아, 관리자에게 관련 내용을 제공하는 것이다.

 

사실 이러한 기능은 보안 측면에서도 매우 중요한 의미를 갖고 있지만, 라이선스 관리라는 측면에서도 매우 중요하다. 수많은 종류의 오픈소스 라이선스로 인해 관리가 어려운 오픈소스를 체계적으로 관리하여 추후 발생할 수 있는 소송 등 법적인 문제를 미연에 방지할 수 있기 때문이다.

 

또한 지금까지 SCA는 소프트웨어 개발 단계에서 문제가 될 수 있는 오픈소스를 피해 안전한 소프트웨어를 개발하기 위한 방법으로 활용될 수 있어 개발 업체를 중심으로 시장이 형성돼 있었지만, 최근에는 개발된 소프트웨어를 납품받는 업체에서도 운영 중인 소프트웨어의 문제를 확인하고 대처하기 위한 방법으로 SCA를 도입하는 경우가 점차 늘고 있다. 과거에는 라이선스 문제에 대처하기 위해 조직의 법무팀에서 도입하는 경우가 많았지만, 최근에는 IT 팀이나 보안 팀에서도 SCA에 대한 수요가 늘고 있다.

 

◈ SCA 대표 주자 ‘인사이너리’

 

한국에서는 SBOM을 위한 SCA 기술 업체의 대표 주자로 2016년 설립된 인사이너리가 있다. 클래리티(Clarity)라는 SCA 솔루션으로 오픈소스 관련 문제에 대한 해답을 제시해 온 인사이너리(Insignary)의 강태진 대표는 단순히 기존 소스코드 기반으로 구성 요소를 찾는 것을 넘어서 소스코드가 없어도 오픈소스가 해당 소프트웨어에 포함됐는지를 지문(패턴)을 통해 알려주는 바이너리 기반 SCA 기술을 개발했다..

 

SCA 기술은 특히 미국에서 최근 주목받고 있다. 조 바이든 미국 행정부가 2021년 소프트웨어 공공조달 시 SBOM(Software Bill of Materials·소프트웨어 구성 요소 목록) 제출을 권고하면서 많은 소프트웨어 기업들이 SBOM 기준을 맞추기 위해 SCA 기술을 도입하고 있으며 여러 공급업체들도 나타나고 있다. 인사이너리가 미국 IT 대기업인 시스코에 자사 SCA 기술인 ‘클래리티’를 공급하고 있는 것이 대표적인 예이다. 이 밖에도 이스라엘 출신 창업자가 2015년 설립한 SNYK는 기업 구매팀이 아니라 개발자에게 직접 SCA 기술을 판매하는 전략을 세우며 지난해 1억 2,220만 달러의 매출을 올렸고, 그 덕분에 기업 가치도 80억 달러에 달하게 되었다. 이뿐만 아니라 미국 시장에선 시놉시스, 멘드, 베라코드, 소나타입 등 다른 업체들도 두각을 나타내고 있다. 그 덕분에 막 태동하기 시작한 전 세계 SCA 시장 규모는 향후 5년간 급속히 성장할 전망이다.

 

클래리티(Clarity) 실행화면
 
 
<클래리티(Clarity) 실행화면>

 

 

◈ 해외에서 먼저 인정받은 인사이너리와 클래리티 기술력

 

클래리티라는 SCA 솔루션으로 오픈소스 관련 문제에 대한 해답을 제시해 온 인사이너리는 국내보다 해외에서 먼저 인정을 받았다.

 

시스코는 인사이너리의 4년 차 고객이면서, 클래리티의 완성도를 높이는 데 큰 기여를 한 고객으로 시스코의 다양한 요구에 대응해 나가면서 솔루션의 완성도를 크게 높이고, 고객들이 원하는 바를 빠르게 반영하면서 보완해 나갈 수 있는 계기가 되었다.

 

미국의 그래마테크(GrammarTech)의 코드센트리(CodeSentry)라는 이름의 바이너리 SCA가 바로 클래리티 라이선스 계약에 의해 공급되고 있는 솔루션이다. 바이든 정부에서 연방정부와 사업 계약을 맺은 모든 기업에게 SBOM을 의무화하는 행정명령을 내림에 따라 관련 시장이 급성장하면서, 현재 그래마테크는 이 코드센트리 솔루션으로 미국 정부나 공공기관을 대상으로 적극적으로 영업을 하고 있어, 현재 클래리티가 미국 정부 기관은 물론 관련 기업들에게도 공급되고 있는 상황이다.

 

클래리티는 미국뿐 아니라 중국이나 대만에도 많은 고객들이 있다. 특히 하드웨어 제조업체들이 오픈소스 라이선스로 인한 문제를 미연에 방지하기 위해 SCA 솔루션을 주로 찾는데, 중국의 하이크비전이나 대만의 에이수스 등이 대표적이고, 아이플라이테크와 같은 인공지능 업체 등도 인사이너리의 주요 고객이다.

 

국내에서도 하드웨어 제조업체는 물론 금융권 등 많은 분야에서 클래리티를 도입하고 있다.

 

클래리티(Clarity) 실행화면

 

 

◈ 다른 SCA 솔루션과 차별화 되는 인사이너리 ‘클래리티’의 특징과 장점

 

일반적인 SCA 솔루션은 소스 코드를 분석해 기존의 오픈소스와 비교하는 방식으로 동작한다. 수많은 오픈소스 프로젝트를 크롤링해 DB화하고 이를 개발한 소스 코드와 비교해 문제점을 찾는 방식이다. 하지만 조직들이 사용하는 소프트웨어의 많은 부분이 직접 개발한 것이 아닌 전문 소프트웨어 개발 업체에 외주로 만들어 납품받은 것으로 이뤄져 있고 이런 외주 납품받은 소프트웨어는 소스 코드가 같이 제공되는 경우도 있지만 바이너리만 제공되는 경우도 있다. 또한 SBOM을 같이 제공하는 경우도 있고 아닌 경우도 있다. 문제는 소스 코드나 SBOM을 제공한다고 해도 이를 완전히 신뢰할 수 없다는 것이며 소스 코드를 제공받아도 이를 다시 빌드해서 검증하는 것조차 쉬운 일이 아니라는 것이다. 소프트웨어 개발 업체의 말을 전적으로 신뢰할 수 있다면 좋겠지만, 그렇지 않을 경우에는 추후 문제가 될 수 있는 상황에 대한 대비가 필요하다.

 

클래리티는 이러한 경우에 해결책으로 사용할 수 있는 바이너리 SCA 솔루션이다. 즉, 바이너리를 분석해 이 소프트웨어에 포함된 오픈소스의 종류와 버전을 확인할 수 있는 기능을 제공한다. 이는 완성된 소프트웨어에 대한 SBOM을 추후에라도 만들 수 있다는 것을 의미한다. 따라서 현재 운영 중인 소프트웨어의 컴포넌트를 확인하고 이에 대한 보안 취약점을 찾을 수 있어, 각종 보안 문제에 대비할 시간을 벌어준다는 점에서 큰 의미가 있다. 이미 시장에 몇 종의 바이너리 SCA에 나와 있기는 하지만 대부분의 바이너리 SCA가 자바 등 특정 기술에 대한 바이너리 SCA 기능만을 제공하는 데 비해, 클래리티는 다양한 플랫폼과 운영체제, 개발 환경을 지원한다는 점에서 큰 장점을 가지고 있다.

 

◈ 본격적인 성장세에 올라선 인사이너리의 국내외 실적과 향후 계획

 

인사이너리 클래리티 기술을 ‘코드센트리’라는 자체 브랜드로 영업을 하고 있는 미국의 그래마테크는 작년 9월 제품 출시 후 미국 연방정부 내 12개 고객을 확보해 2백만 달러의 매출을 올렸고, 최대 2백5십만 달러의 첫해 매출을 예측하고 있다. 또한 FossID의 리셀러이기도 한 일본의 중견 IT Services 기업 Techmatrix도 클래리티의 일본 판매에 관심을 보여 3개월간의 테스팅을 거치고 리셀러 계약을 앞두고 있다.

 

국내에서도 SCA 기술이 유망해질 전망이다. 과학기술정보통신부는 내년까지 110억 원을 투자해 SBOM 시스템을 구축할 계획이라고 밝혔다. SBOM에 대한 관심은 미국뿐 아니라 한국에서도 고조되고 있으며 인사이너리에서는 현대모비스, 한화손해보험 등을 신규 고객으로 확보하며 매출이 전년 대비 2021년에 2배, 2022년에 4배 이상 성장했다. 또한 K Bank가 도입한, 바이너리 기반 SCA이기에 가능한, 인프라스트럭처 스캐닝 서비스를 확대해 나갈 예정입니다. 마지막으로, 국방분야 TF 포럼에서 SBOM 관리를 위해 다수의 바이너리 SCA 툴을 테스트했는데 유일하게 클래리티만 의미 있는 스캔 결과를 보여 클래리티의 도입을 확정했다. 이렇게 SBOM과 오픈소스 관련 리스크 관리에 대한 관심이 높아지며 국내외에서 인사이너리의 수요가 늘고 있다.

 

인사이너리는 더 나아가 향후 셀프서비스 프리미엄 모델을 준비하고 있다. 이는 개발자들에게 무료로 대부분의 SCA 기능을 제공해, 오픈소스를 이용한 개발 시 도움을 줄 수 있도록 하면서 일부 프리미엄 서비스를 제공해 수익화하는 방법으로 운영을 계획하고 있다. 이 새로운 서비스는 B2B와 B2C가 겹쳐 있는 영역을 겨냥하고 있다.

 

또한 SBOM 인증 서비스도 계획 중이다. 현재 기업들은 SBOM과 관련된 대책 마련에 고심 중이며, 개발 업체에서 제공하는 SBOM에 대한 신뢰가 그리 깊지 않은 상황일 뿐 아니라 이를 검증할 수 있는 방법도 마땅치 않다. 국가 기관이나 혹은 검증된 기관과 손잡고 마치 의약품이나 식품의 성분표와 같이 SBOM에 대한 인증을 통해 소프트웨어 개발 업체와 이를 공급받는 업체 양쪽이 모두 신뢰할 수 있는 환경을 만드는 서비스를 계획 중에 있다.

 

 

맨 위로
맨 위로