엔시큐어, 시높시스와 파트너십 계약 체결

시높시스 솔루션 오픈소스 라이선스 점검 및 보안취약점 분석 등 국내 시장, 엔시큐어를 통해 본격 진출

국내 보안기업인 엔시큐어(ensecure.co.kr, 대표 문성준)는 7월 22일 글로벌 IT기업 시높시스(synopsys.com)와 파트너십 계약을 체결했다고 밝혔다.

이번 파트너십은 시높시스의 ▲ 오픈소스 라이선스와 취약점을 관리하는 Black Duck(블랙덕), ▲ 취약점을 찾기 위해 무작위로 데이터를 입력하여 오류를 발생시킨 후 원인을 분석하는 퍼지 테스팅(Fuzz Testing)으로 알려지지 않은 취약점을 탐지하는 Defensics(디펜직스), ▲ 애플리케이션에서 발생하는 실제 공격을 모의 테스트 하는 Seeker(식커) 솔루션의 계약을 체결했다.

특히 블랙덕은 GPL 및 Apache License, BSD License 등 다양한 라이선스 정보를 제공하며 270만 개 이상의 오픈소스를 목록화하여 라이선스 준수 사항을 분석할 수 있다. 그리고 소스코드 품질 관리를 위해 소프트웨어 개발 수명 주기와 오픈소스의 취약점도 분석할 수 있다.

라이선스 침해사례로 2017년 5월 우리나라를 대표하는 소프트웨어 회사가 국제소송에 휘말린 사례가 있다. ‘Ghostscript(고스트스크립트)’라는 오픈소스를 사용해 미국 소프트웨어 업체 아티펙스(개발사)로부터 소송에 휘말렸다. 고스트스크립트는 어도비(Adobe Systems)의 PostScript 및 PDF 페이지 기술에 대한 PDF 파일을 변환 및 호환할 수 있게 하는 페이지 기술로 파일의 래스터화, 렌더링 등의 문서 페이지의 표시 또는 인쇄하는 오픈소스이다. 아티펙스는 해당 오픈소스를 사용한 우리나라의 소프트웨어사는 2013년 고스트스크립트를 쓰기 시작한 이후 결과물에 대해 오픈소스로 공개한 적이 없고 라이선스 비용을 지급한 적도 없다며, 2016년 말 캘리포니아 주 북부 지방 법원에 소송을 제기했다. 아티펙스는 고스트스크립트 사용을 당장 중단하고 합리적인 사용료를 지불할 것을 요구했다. 그리고 오픈소스 취약점으로 2018년 고스트스크립트는 샌드박스를 우회하는 취약점이 발견되었다. 해커가 익스플로잇 공격에 성공할 경우, 원격에서 승인 없이 임의의 명령을 실행하게 하는 매우 위험한 취약점이다. 세계 시장을 대상으로 개발하는 회사라면 개발중인 소스코드가 어떠한 오픈소스를 사용하고 있는지, 오픈소스의 취약점은 무엇인지 꼭 확인해봐야 한다.

아래 항목은 GNU 소프트웨어에 관련된 다섯 가지 의무이다. GNU 일반 공중 사용 허가서는 누구에게나 다음의 다섯 가지의 의무를 저작권의 한 부분으로서 강제한다.

  • 컴퓨터 프로그램을 어떠한 목적으로든지 사용할 수 있다. 다만 법으로 제한하는 행위는 할 수 없다.
  • 컴퓨터 프로그램의 실행 복사본은 언제나 프로그램의 소스 코드와 함께 판매하거나 소스코드를 무료로 배포해야 한다.
  • 컴퓨터 프로그램의 소스 코드를 용도에 따라 변경할 수 있다.
  • 변경된 컴퓨터 프로그램 역시 프로그램의 소스 코드를 반드시 공개 배포해야 한다.
  • 변경된 컴퓨터 프로그램 역시 반드시 똑같은 라이선스를 취해야 하며, GPL 라이선스를 적용해야 한다.

이번 체결은 엔시큐어의 다양한 경험과 축적된 기술력, 전문적인 보안 컨설팅 능력을 바탕으로 국내 개발사에 폭넓은 가치를 제공하기 위해 맺어졌다.

엔시큐어 전략기획부 오연진 팀장은 “최근 소프트웨어 산업이 크게 발전함에 따라 모바일 앱 및 소프트웨어를 개발 시 오픈소스의 라이선스와 취약점 관리를 소홀히 여기고 있다고 말하며, 이는 곧 법적 분쟁을 야기할 수 있기 때문에 주의해야 한다.”고 말했다. “블랙덕 솔루션을 활용하면 오픈소스 라이선스 관리와 취약점 문제를 빠르고 쉽게 해결 할 수 있다.” 고 덧붙였다.