운영 중인 서버 SW에 숨겨진 오픈소스 취약점 대응 ‘래브라도 서버케어' 개발
래브라도랩스(대표 김진석 이희조)가 서버 오픈소스 취약점 관리 솔루션 ‘래브라도 서버케어'를 출시했다고 밝혔다.
래브라도 서버케어는 운영 중인 서버에서 오픈소스 취약점을 찾고 대응책을 제시한다.
래브라도 서버케어는 서버에 설치된 각 SW 라이브러리가 어떤 오픈소스에 의존하고 있는지 분석한다. 글로벌 오픈소스 취약점 데이터베이스와 연결해 새로운 CVE(Common Vulnerabilities and Exposures)가 나올 때마다 운영 중인 서버 SW에서 취약점을 알려준다.
전세계 IT 관리자는 2022년 Log4J 취약점의 위험성을 알면서도 어떤 서버에서 해당 라이브러리가 운영되는지 파악조차 어려워 대응이 쉽지 않았다.
미국 사이버보안 검토위원회는 운영 중인 서버 SW에서 Log4J를 제거하는데만 10년이 걸릴 것으로 예상했다. 취약점이 공개돼 해커가 악용하고 있지만 여전히 패치되지 않은 수많은 서버가 존재한다.
래브라도 서버케어를 사용하는 기업은 Log4J를 비롯해 최신 오픈소스 취약점이 발견될 때마다 쉽게 분석하고 바로 대응할 수 있다.
기업은 SW 개발과 빌드, 배포단계는 보안을 신경쓴다. 하지만, 해당 SW가 서버에서 설치된 후 작동하는 동안 취약점 관리가 되지 않는다. 서버에 소프트웨어를 처음 설치할 때 취약점을 점검하지만 운영이 시작된 후에는 추적과 관리가 쉽지 않기 때문이다.
최근 SW는 80%가 오픈소스로 구성된다. CVE 데이터베이스에 따르면 2020년 1만8375개였던 취약점은 2022년 2만5059개로 늘어났으며 2024년(현재) 2만9000건을 돌파했다. 오픈소스로 만든 SW 취약점을 지속관리해야 하는 이유다.
래브라도 서버케어는 리눅스, 유닉스, 윈도 등 다양한 서버에 설치된 SW 목록을 주기적으로 체크해 분석한다. OS패키지, 라이브러리 등의 보안 취약점과 라이선스 이슈까지 분석해 조치 계획 등 관리 방안을 제시한다.
특히, 래브라도랩스는 설치된 SW에 대한 오픈소스 의존성 분석으로 심층 취약점 탐지 기능을 제공한다.
래브라도랩스 김진석 대표는 “최근 금융권에서 서버케어 도입을 시작으로, 의료, 자동차, 게임, 공공 등 모든 산업분야의 오픈소스 위협을 대비할 수 있는 방향으로 확대 예정”이라며 “출고 당시 보안 점검이 된 SW도 운영하면서 취약점이 지속 발견된다. 운영 중인 SW의 보안을 챙겨야 공급망을 통한 사이버 공격에 대응할 수 있다”고 말했다.
래브라도랩스는 지난 8월 래브라도 SCM에 이어 이번 서버케어 솔루션을 개발해 SW 공급망 보안 플랫폼을 완성했다.
래브라도랩스는 오픈소스 취약점 및 라이선스 컴플라이언스 위험 제거 도구 ‘래브라도 SCA(소프트웨어 구성 분석)’, SW 공급망 자동관리플랫폼 ‘래브라도 SCM’, 운영 중인 서버에 숨겨진 오픈소스 취약점을 찾고 대응하는 ‘래브라도 서버케어' 라인업을 구성했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
