디지털 전환과 오픈소스 소프트웨어의 확산으로 인해 기업들은 애플리케이션 개발에 필수적인 OSS(오픈소스 소프트웨어)를 폭넓게 활용하고 있다. 그러나 OSS에 내재된 보안 취약점은 기업 보안팀과 데브옵스(DevOps) 엔지니어에게 관리 부담을 초래하며, 수동 대응의 한계로 인해 자동화 기반 취약점 관리 기술의 필요성이 높아지고 있다.

오픈 소스 보안 태세 관리(OSPM) 플랫폼 액티브스테이트(ActiveState)는 큐레이팅된 OSS 보안 카탈로그 내에 1300만 개 이상의 자바 구성 요소를 포함해 자바에 대한 포괄적 지원 이정표를 달성했다고 발표했다.

이번 발표는 자사 오픈소스 보안 태세 관리(OSPM) 플랫폼의 핵심 기술인 온디맨드 카탈로그 확장을 통해 실현되었으며, 고객 맞춤형 보안 및 자동 수정을 강화하기 위해 추진되었다.

주문형 카탈로그 기반의 자동화된 자바 보안 관리

액티브스테이트 플랫폼은 기존의 수동적 방식이 아닌, 사용자의 필요에 따라 보안 구성 요소를 실시간으로 소싱하고 자동화된 방식으로 확장함으로써 자바 기반 오픈소스 소프트웨어에 대한 선제적 보안 대응을 가능하게 한다. 현재 카탈로그에는 4000만 개 이상의 고유 아티팩트가 포함되어 있으며, 이는 업계 최대 수준의 보안 OSS 데이터베이스로 계속 성장하고 있다.

특히 자바 언어에 대한 적용 범위가 넓어짐에 따라 보안팀과 데브옵스 엔지니어는 애플리케이션 변경 사항에 대한 영향을 명확히 파악하고, 취약점을 자동으로 탐지 및 수정하며, 보안 대응 속도를 크게 향상시킬 수 있다. 이는 OSS를 적극적으로 활용하는 엔터프라이즈 환경에서 안정적인 개발 및 운영을 위한 핵심 수단으로 부상하고 있다.

세 가지 핵심 기능: 가시성, 위험 우선순위, 정밀 수정

액티브스테이트 플랫폼은 세 가지 핵심 기능을 기반으로 한다. 첫째, ‘취약점 폭발 반경’ 기능은 조직 내 OSS 환경 전반에 대한 가시성을 제공하고, 직접 및 전이적 종속성 분석을 통해 실제 보안 영향 범위를 파악할 수 있게 한다. 둘째, ‘위험 우선순위 지정 코파일럿’ 기능은 AI를 활용해 가장 중요한 위협에 집중하도록 돕고, 사전 예방적 위험 탐지와 빠른 대응을 가능하게 한다.

셋째, ‘정밀한 수정 파이프라인’은 구성 요소 수준에서 개입해 안전한 빌드를 생성하며, 기존 개발 파이프라인과의 원활한 통합을 통해 자동화된 취약점 수정을 실현한다. 이를 통해 단순 탐지를 넘어 보안 문제의 선제적 해결과 안전한 배포가 가능하다.

액티브스테이트의 제품 담당 수석 이사 피트 가르신은 “우리는 언어 지원 확대를 통해 기업들이 핵심 기술 스택 전반에서 필요한 가시성과 보안 역량을 확보할 수 있도록 지속적으로 노력하고 있다”고 밝혔다. 액티브스테이트는 앞으로도 보안 중심의 OSS 운영을 위한 자동화 기술을 지속적으로 강화해 나갈 계획이다.