글로벌 디지털 생태계가 오픈소스 소프트웨어에 대한 의존을 심화시키면서, 소프트웨어 공급망 보안이 국가적 차원의 중요 과제로 떠오르고 있다. 특히 기업과 정부, 학계까지 OSS(오픈소스 소프트웨어)를 기반으로 핵심 시스템을 구축하고 있는 가운데, 적대 국가들이 OSS 생태계에 침투해 보안 위협을 유발하는 사례가 증가하고 있다. 이에 따라 OSS 기여자와 코드 구성 요소의 출처를 식별하고, 잠재 위협을 조기에 차단할 수 있는 기술적 대응 수단이 절실해지고 있다.

국가 연계 위협 식별하는 OSS 스크리닝 도구

전략적 인텔리전스 솔루션 기업 스트라이더 테크놀로지스(Strider Technologies, 이하 스트라이더)가 소프트웨어 공급망 내 국가 기반 위협을 식별할 수 있는 오픈소스 소프트웨어 스크리닝 도구 ‘OSS 서치(OSS Search)’를 공식 출시했다고 밝혔다. 이 도구는 적대적인 국가와 연계된 소프트웨어 기여자를 조기에 탐지하고, 공급망 보안에 필요한 실행 가능한 정보를 제공하는 기능을 탑재하고 있다.

스트라이더는 중화인민공화국, 러시아, 이란 등 국가가 주도하는 사이버 활동이 OSS 생태계를 침투하고 있다고 경고하며, 이러한 위협에 대응하기 위해 산업계와 정부, 학계 모두가 기여자 활동을 면밀히 분석할 필요가 있다고 강조했다. OSS 서치는 이러한 위협을 탐지하고 완화하는 세 가지 주요 기능을 중심으로 구성됐다.

고급 기여자 분석과 선제적 위협 탐지 기능

OSS 서치는 고급 기여자 분석 기능을 통해 오픈소스 커뮤니티 내 활동 정보를 수집하고, 국가 지원 위협 행위자와의 연관성을 사전에 식별한다. 이 도구는 기여자의 프로필, 활동 패턴, 과거 기록 등을 분석하여 조직이 수동으로 수행하던 조사 과정을 자동화하고, 위협이 본격화되기 전에 완화할 수 있도록 지원한다.

OSS 서치는 오픈소스 저장소에 대한 종합적인 분석 기능을 제공하여, 관련 취약점과 기여자 활동을 실시간으로 추적한다. 이를 통해 보안팀은 저장소에서 발생하는 이상 징후나 코드 수정 내역, 의심스러운 기여 기록 등을 빠르게 파악할 수 있다. 저장소 단위의 분석은 보안 대응 시간을 단축하고, 공급망 전반에 대한 상황 인식을 향상시킨다.

또한 저장소 내 코드 베이스의 변화와 연계된 보안 이벤트를 통합적으로 모니터링하여, 공격 표면을 좁히고 위협 확산 가능성을 최소화하는 데 기여한다. 이러한 자동화된 저장소 분석 기능은 보안 인력의 수작업 부담을 줄이고 위협 식별 정확도를 높인다.

종속성 매핑을 통한 공급망 위험 완화

OSS 서치는 종속성 위험 매핑 기능을 통해 오픈소스 프로젝트 내 구성 요소 간의 상호 의존성을 시각적으로 파악할 수 있도록 지원한다. 이를 통해 조직은 공급망 내 취약 지점을 사전에 인지하고, 연쇄적인 보안 위험을 차단할 수 있다. 특히 다수의 라이브러리와 오픈소스 모듈이 연결된 복잡한 애플리케이션 환경에서, 종속성 기반의 보안 평가 기능은 핵심 보안 통제 수단으로 기능한다.

이러한 기능은 오픈소스 생태계에서 빈번히 발생하는 공급망 취약점을 탐지하고, 이를 근본적으로 차단할 수 있는 구조적 대응 전략을 수립하는 데 중요한 역할을 한다. 또한 스트라이더는 OSS 서치를 통해 소프트웨어 보안성과 생태계의 투명성을 동시에 강화할 수 있다고 밝혔다.

스트라이더는 OSS 서치를 산업계뿐 아니라 정부와 학계에도 제공해, 전체 디지털 인프라의 공급망 위험 관리 체계를 고도화할 계획이다. 이 도구는 향후 타 보안 솔루션과 통합되어, 다계층 보안 환경 속에서 지속적인 위협 탐지와 대응을 수행할 수 있도록 발전될 예정이다.

스트라이더의 CEO이자 공동 창립자인 그렉 레베스크(Greg Levesque)는 “국가 지원 위협 행위자들이 오픈소스 생태계에 침투해 공급망 접근, 민감 정보 유출, 사이버 간첩 활동을 가능하게 하고 있다”고 밝히며, “OSS 서치는 기여자에 대한 위험을 명확히 파악함으로써 오픈소스 커뮤니티의 협력 기반을 보호할 수 있다”고 강조했다.

스트라이더는 위협 인텔리전스 기반 기술의 중요성을 강조하며, 오픈소스 생태계와 사이버 보안 사이의 균형을 유지하는 것이 향후 보안 전략의 핵심이 될 것이라고 밝혔다. 이번 OSS 서치 출시를 통해 조직은 기여자의 배경까지 고려한 심층 보안 전략을 수립할 수 있게 되었으며, 오픈소스 공급망의 투명성과 안정성을 확보하는 기반을 마련하게 되었다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BFPdoor 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPFdoor 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.