금융권 오픈소스 보안은 엘에스웨어 :: 포세라 포털 위드 블랙덕

안녕하세요. 엘에스웨어의 오픈소스 사업본부 블로그에 오신 걸 환영합니다.

최근 국내 금융권에서 오픈소스를 활용한 디지털 혁신이 가속화되는 만큼 이에 대한 리스크에 대응하기 위한 오픈소스 활용 & 관리가 중요한 이슈로 떠오르고 있습니다. 오늘은 금융권의 안전한 오픈소스 활용 및 관리를 위한 노력과 엘에스웨어의 포세라 포털 위드 블랙덕이 필요한 이유를 함께 알아보겠습니다.


금융권 오픈소스 & 공급망 관리

2022년 금융감독원과 금융보안원은 금융업계와 함께 <금융분야 오픈소스 소프트웨어 활용•관리 안내서>를 제정했습니다. 이 안내서는 비규제 성격으로 금융회사의 자율보안 체계 강화와 안전한 오픈소스 활용을 지원하기 위해 최초로 제정됐습니다. 주요 내용으로는 오픈소스에 대한 정의, 오픈소스 보안 리스크, 오픈소스 라이선스, 오픈소스 관리 절차 등이 있습니다.

그리고 최근에는 금융보안원이 CVE 발급 및 등록 기관(CNA, CVE Numbering Authority)으로 지정됐습니다. CVE는 Common Vulnerabilities and Exposures의 약자로 공개적으로 알려진 오픈소스 등 소프트웨어에 존재하는 보안 취약점 목록을 뜻하며, 각 보안 취약점에 CVE ID를 부여하여 효율적으로 취약점을 공유하고 관리하는 데 그 목적이 있습니다. CNA 기관은 전 세계 352개 기관, 국내에는 6개의 기관이 지정되어 있으며, 국내 금융권 소프트웨어에 포괄적으로 적용되는 기관은 금융보안원이 유일합니다. 이를 통해 금융감독원이 국내 금융권의 보안 취약점 관리 체계를 구축하고, 오픈소스를 통한 고도화된 공격에 선제 대응할 수 있는 환경을 조성하고자 노력한다는 사실을 알 수 있습니다.


금융권 오픈소스 보안에 필요한 것은?
포세라 포털 위드 블랙덕!

엘에스웨어의 오픈소스 통합 관리 포털인 포세라 포털 위드 블랙덕은 <금융분야 오픈소스 소프트웨어 활용•관리 안내서>에 준수하는 오픈소스 관리 체계를 바탕으로 실질적인 오픈소스 관리를 수행합니다. 

Black Duck 연동
포세라 포털 위드 블랙덕은 글로벌 NO.1 SCA 도구이자 방대한 DB를 갖춘 Black Duck과 실시간으로 연계하여 오픈소스의 라이선스와 보안 취약점을 정확하게 탐지하고, CVE보다 빠른 보안 취약점 정보를 바탕으로 위험에 선제적으로 대응할 수 있는 체계적인 관리를 수행하고 있습니다.

폐쇄망 자동 반입 & 점검
프로젝트에 사용될 오픈소스를 외부에서 반입할 때 자동으로 검사를 수행하여 잠재적인 보안 취약점이 발견될 시 즉각 격리 조치하여 문제를 차단합니다. 또한 금융권과 같이 폐쇄망 환경에서도 포세라 포털 위드 블랙덕을 통해 외부의 오픈소스를 안전하고 빠르게 반입할 수 있어서 작업의 효율성도 극대화할 수 있습니다.

SBOM & 종합 보고서
최근 국내외 공급망 보안을 위해 중요성이 커진 소프트웨어 구성요소 목록(자재명세서) SBOM과 라이선스, 보안 취약점, 위반 사항 등을 정리한 종합 보고서도 포세라 포털 위드 블랙덕을 통해 한 번에 확인할 수 있습니다. SBOM은 SPDX와 CycloneDX 유형을 모두 제공하며, 전체적인 프로젝트 점검 결과를 Excel 형태로 가공하여 가시성 높은 종합 보고서로 제공합니다. 이를 통해 금융권의 오픈소스 공급망 보안에 맞춘 체계적인 오픈소스 관리를 수행할 수 있습니다.


오늘은 국내 금융권의 적극적인 오픈소스 활용 및 관리 지침과 이를 효율적으로 수행하는 포세라 포털 위드 블랙덕에 관해 소개했습니다. 오픈소스를 편리하고 안전하게 활용하기 위해서는 공급망 차원의 관리가 필요합니다. 오픈소스 전문 기업 엘에스웨어의 포세라 포털 위드 블랙덕은 금융권 오픈소스 관리의 해답입니다. 엘에스웨어와 포세라 포털 위드 블랙덕에 대한 자세한 정보는 아래 네임카드를 참고해 주세요.

---

엘에스웨어
📍서울특별시 금천구 서부샛길 606 대성디폴리스 A동 18층
📞 02-6919-0321
📧 opensource@lsware.com