안녕하세요! 오픈소스 전문 기업 엘에스웨어 오픈소스 사업본부입니다.
오늘은 오픈소스 보안 취약점으로 인한 에퀴팩스 데이터 유출 사례와 보안 취약점 이슈에 대응하기 위한 블랙덕 & 포세라 포털 위드 블랙덕에 대한 이야기를 소개합니다.
에퀴팩스 데이터 유출 사례
2017년 에퀴팩스(Equifax) 데이터 유출 사례는 미국의 주요 신용 정보 회사인 에퀴팩스가 사이버 공격을 받아 약 1억 4,300만 명의 개인 정보가 유출된 사건입니다. 이 사건의 원인은 Apache Struts2 웹 애플리케이션 프레임워크에서 발견된 원격 코드 실행(RCE) 취약점(CVE-2017-5638)을 악용한 공격이었습니다. 이 취약점은 2017년 3월에 공개되었으며, 이를 해결하기 위한 패치도 즉시 배포되었습니다. 그러나 에퀴팩스는 패치를 적시에 적용하지 않았고, 그 결과, 해커들은 2017년 5월 중순부터 7월 말까지 약 두 달 반 동안 이 취약점을 이용해 에퀴팩스의 시스템에 접근할 수 있었습니다.
이로 인해 약 1억 4,300만 명의 미국 소비자, 1,500만 명의 영국 소비자, 그리고 19,000명의 캐나다 소비자의 개인 정보가 유출되었습니다. 유출된 데이터에는 이름, 사회 보장 번호, 생년월일, 주소, 운전면허 정보, 그리고 일부 신용 카드 번호 등이 포함되었습니다. 이러한 대규모 데이터 유출은 에퀴팩스의 신뢰성을 크게 훼손시켰고, 법적 문제와 막대한 금전적 피해를 초래했습니다.
에퀴팩스 데이터 유출은 오픈소스 보안의 중요성을 강조하는 대표적인 사례입니다. 그렇다면 Synopsys의 블랙덕과 엘에스웨어의 '포세라 포털 위드 블랙덕'이 이러한 오픈소스 관련 문제에 어떻게 대응하는지 함께 알아보겠습니다.
보안 취약점에 대응하는 블랙덕
No.1 오픈소스 보안 관리 솔루션인 Synopsys의 블랙덕(Black Duck)은 오픈소스의 취약점을 식별하고 관리하는 데 중요한 역할을 합니다. 위와 같은 보안 사고를 예방하고 대응하기 위해 블랙덕이 제공하는 주요 기능은 어떤 것이 있을까요?
1. 신속한 보안 취약점 식별
- 블랙덕은 Synopsys 내부의 방대한 오픈소스 취약점 데이터베이스를 바탕으로 보안 취약점 정보를 실시간으로 업데이트하고, NVD보다 빠른 보안 취약점 정보를 고객에게 제공합니다. 따라서 블랙덕의 서비스를 이용하는 기업과 조직은 취약점을 조기에 식별하고, 신속히 대응할 수 있습니다. 에퀴팩스의 경우 알려진 보안 취약점이 해커들에게 노출된 후에도 신속한 대응이 이루어지지 않아 큰 피해를 가져왔습니다. 빠른 오픈소스 보안 취약점 식별은 리스크 대응의 중요한 시작이라고 볼 수 있습니다.
2. 자동화 식별 & 분석
- 블랙덕은 오픈소스 컴포넌트를 자동으로 식별하며, 오픈소스의 의존성까지 분석하는 업계 유일 Multifactor 식별 솔루션입니다. 블랙덕은 코드베이스, 바이너리 및 컨테이너 등에서 오픈소스를 자동으로 식별하여 체계적이고 빈틈없는 오픈소스 관리를 할 수 있도록 합니다. 또한 오픈소스 보안 취약점뿐만 아니라 라이선스까지 동시에 탐지하여 오픈소스로 인해 발생할 수 있는 리스크를 사전에 차단할 수 있습니다.
3. 세부적인 후속 조치
- 취약점이 발견되면 블랙덕은 적절한 패치 권고와 세부적인 해결 방안을 제공합니다. 또한 정기적인 보안 모니터링 리포트를 제공하여, 조직이 오픈소스 프로젝트의 보안 상태를 지속적으로 파악할 수 있도록 돕습니다. 앞선 Apache Struts2 취약점의 경우, 블랙덕은 고객들에게 최신 버전으로 업데이트할 것을 권장했으며, 즉시 업데이트가 불가할 경우의 포괄적인 우회 방법까지 제공하여 명확한 대응 방안을 안내했습니다. 보안 취약점이 노출된 이후 블랙덕을 통해 명확한 조치 가이드라인을 받을 수 있으며, 정기적인 보안 모니터링으로 안전하게 오픈소스 프로젝트를 운영할 수 있습니다.
블랙덕과 실시간 연동, 포세라 포털 위드 블랙덕
엘에스웨어의 '포세라 포털 위드 블랙덕'은 블랙덕과 실시간 연동되어, 그 기능을 더욱 편리하게 활용할 수 있도록 지원하는 오픈소스 통합 관리 포털입니다. 포세라 포털 위드 블랙덕의 직관적인 인터페이스는 블랙덕의 기능에 이용의 편의성을 더해줍니다. 또한, 블랙덕의 분석 결과를 바탕으로 세부적인 조치를 취할 수 있도록 돕는 자동 반입 및 격리, 버전 관리 등의 기능을 통해 오픈소스 관련 문제를 효과적으로 관리할 수 있습니다.
오픈소스를 사용하는 기업의 개발자와 오픈소스 관리자라면 사업 분야와 관계없이 오픈소스 라이선스와 보안 취약점을 통합적으로 관리하는 솔루션이 필요합니다. 오픈소스 전문 기업 엘에스웨어의 포세라 포털 위드 블랙덕을 통해 오픈소스 활용의 새로운 시대를 열어보세요. 포세라 포털 위드 블랙덕에 대한 자세한 정보는 아래 엘에스웨어 로고를 클릭해 주세요.
엘에스웨어
📍서울특별시 금천구 서부샛길 606 대성디폴리스 A동 18층
📞 02-6919-0321
📧 opensource@lsware.com
'오픈소스' 카테고리의 다른 글
| 오픈소스 거버넌스의 정의와 필요성 (0) | 2024.07.08 |
|---|---|
| 오픈소스 컴플라이언스를 위한 최고의 선택 :: 오픈소스 통합 관리 포털 (0) | 2024.06.18 |
| 오픈소스 국제 표준 및 인증 :: 오픈체인 프로젝트 (0) | 2024.05.30 |
| 오픈소스 의존성에 대한 정의와 문제 해결 방안 (1) | 2024.05.23 |
| [NEWS] 정부, SBOM 공급망 보안 가이드라인 1.0 발표 (0) | 2024.05.14 |
