- 유럽의 베어링포인트, 일본의 그레이프 시스템즈등 유력 IT기업과 파트너십 체결
- 파트너들은 최고의 핑거프린트기반 오픈소스 바이너리 코드 스캐너 ‘인사이너리 클래리티’를 이용하여, 성장하는 보안취약점 탐지시장 진출가능
[2017년 11월 16일]
오픈소스 보안 솔루션 전문 기업 인사이너리(대표 강태진)는 16일 인사이너리 글로벌 채널 파트너 프로그램을 공개했다. 핑거프린트기반 바이너리 코드 스캐너인 인사이너리사의 ‘클래리티(Clarity)’ 서비스는 오픈소스 분석을 위한 최고의 솔루션으로, 매니지드 서비스 프로바이더(MPS)와 리셀러(VAR) 및 보안감리업체들은 이를 활용하여 성장하는 보안 취약점 탐지 시장에 진출할 수 있다.
인사이너리의 글로벌 채널 파트너 프로그램을 통해 파트너들은 수익을 향상시킬 수 있을 뿐 아니라, 애플리케이션 보안, 소프트웨어 개발, 매니지드 서비스 구현과 오픈소스 검증을 통해 고객과의 관계를 강화할 수 있다.
현재 유통되고 있는 소프트웨어의 90% 이상은 어떤 형태든 오프소스 기반의 코드를 포함하고 있다. 비용절감, 생산성 향상 등의 큰 장점 때문에 널리 사용되고 있지만, 오픈소스 사용에는 리스크도 있다.
대부분의 경우 오픈소스가 포함된 펌웨어, 프로그램 등은 바이너리 파일의 형태로 고객에게 배포되거나 기업간 공유가 이루어지는데 기존의 오픈소스 스캔 솔루션은 바이너리가 어떤 오픈소스를 사용해서 만들었는지 파악이 어렵다.
따라서, 바이너리 파일 검증을 통해 사용된 오픈소스를 확인하여 사전에 보안 취약점을 파악하고 라이선스를 관리하여야함에도 불구하고, 최근까지는 사전에 오픈소스 보안 취약점을 확인하는 것이 거의 불가능했다. 하지만 인사이너리사의 ‘클래리티(Clarity)’ 서비스를 이용하면 이런 문제를 미리 해소할 수 있다.
대부분의 컴퓨터 시스템 데이터유출과 같은 해킹사고는 복잡한 소프트웨어 조달 모델로 인하여, 기업이 제때에 패치하지 못한 알려진 보안 취약점을 해커가 악용하여 발생한다. 지난 9월 미국인구의 절반에 가까운 약 1억 4,500명의 개인정보가 유출된 에퀴팩스(Equifax) 사태도 이미 3월에 보고된 보안 취약점에 대해 적절한 조치를 취하지 못해서 발생한 사건으로, 이로 인해 에퀴팩스의 CEO와 보안 책임자가 사임했으며, 700억불에 달하는 집단 소송과 의회 청문회등의 어려움을 겪고 있다.
인사이너리의 강태진 대표는 “클래리티의 핑거프린트기반 알고리즘은 빠르고 유연하며, 오픈소스상의 알려진 보안 취약점을 발견하는 가장 효율적인 수단을 제공한다.” 며 “새로운 인사이너리 글로벌 채널 파트너 프로그램은 리셀러들(VAR)과 매니지드 서비스 프로바이더(MPS), 보안감리업체들이 고객 충성도 및 수익을 높이는 동시에 보안 취약점과 라이선스 컴플라이언스 문제를 발견하도록 돕는 가장 효과적인 솔루션이다.”라고 말했다.
인사이너리 글로벌 채널 파트너 프로그램
인사이너리는 이미 다수의 다국적 기업들과의 성공적인 협력사례를 보유하고 있으며, 이번의 글로벌 채널 파트너 프로그램은 이러한 지속적인 성공사례에 기반하여 지원된다.
인사이너리의 유럽지역 파트너이자 전세계 1만명 이상의 컨설팅 네트워크로 75개국에서 세계적인 기업 고객들에게 컨설팅 서비스를 제공하고 있는 베어링포인트의 자동화부문 글로벌 수장인 매티어스 로에비치(Matthias Loebich)는 “인사이너리의 바이너리 스캐닝 기능을 우리의 오픈소스 소프트웨어(OSS) 보안과 컴플라이언스 서비스 포트폴리오에 추가함으로서, 최근 증가하고 있는 오픈소스 소프트웨어 보안과 컴플라이언스 문제에 대한 가장 종합적인 서비스를 제공할 수 있게 되었다.”며 “이로서 베어링포인트의 고객들은 소프트웨어 공급망을 관리하기 위한 복잡한 프로세스나 툴에 대한 걱정 없이 오픈소스 소프트웨어의 혁신성, 확장가능성, 신뢰성과 같은 장점들을 향유할 수 있게 되었다. 우리는 고객들에게 최적의 서비스 수준을 제공하기 위하여 지속적으로 클래리티와 같은 혁신적인 기술과 기능들을 추가하고 있다.”고 말했다.
인사이너리의 중국 파트너인 메이유 테크놀로지스(Maiyue Technologies)의 CEO 아들러 왕(Adler Wang)은 “첨단 기술에서의 강점과 전문적인 지원인력을 갖춘 인사이너리는 오픈소스 바이너리 관리 시장에서 가장 가치있는 회사이다.“라며 “인사이너리와 함께 중국시장의 성장을 목격할 수 있어 기쁘게 생각한다.”라고 말했다.
인사이너리의 일본 리셀러인 그레이프 시스템즈(Grape Systems)의 전무이사인 아키히코 나카가와(Akihiko Nakagawa)는 “임배디드 시스템 시장에서의 27년간 경험을 통해 그레이프 시스템즈는 바이너리 형태로의 소프트웨어 제공에 대한 위험성을 잘 이해하고 있다.” 며 “사물인터넷(IoT) 및 차량/TV의 커넥티드 서비스 시장이 확대됨에 따라, 클래리티는 인터넷에 연결된 기기들(Internet connected edges)의 보안에 중요한 역할을 담당하게 될 것이다. 이러한 역할에 참여하게 되어 기쁘다.” 라고 말했다.
인사이너리의 클래리티는 라이선스 기반으로 서버에 온프레미스(On-Premise)로 설치 또는 클라우드 기반의 SaaS형태로 제공된다.
인사이너리의 글로벌 채널 파트너 프로그램에 대한 자세한 내용은 인사이너리사 홈페이지(www.insignary.com/channelpartnerprogram)에서 확인 가능하다.
인사이너리 클래리티(Clarity)
인사이너리 클래리티는 모든 바이너리에 대해 공개된 보안 취약점을 능동적으로 검사하고 라이선스 문제를 검증하는 솔루션이다. 클래리티는 소스코드나 리버스 엔지니어링 없이도 바이너리에 사용된 오픈소스 컴포넌트를 검출할 수 있다. 따라서, 소프트웨어 개발사, 리셀러(VAR), SI와 소프트웨어 배포를 관리하는 매니지드 서비스 프로바이더(MSP)는 보안 취약점과 라이선스 컴플라이언스에 대해 적절한 사전 예방 조치를 취할 수 있다.
인사이너리의 클래리티는 바이너리로부터 오픈소스 핑거프린트를 추출하여 수많은 오픈소스 저장소에 관리되는 오픈소스 컴포넌트로부터 수집된 핑거프린트와 비교한다. 체크섬이나 해쉬기반의 바이너리 스캐너와는 달리, 클래리티는 다른 CPU 아키텍처와 OS플랫폼 별로 해쉬값이나 체크섬을 산출해 데이터베이스화 할 필요가 없다. 이는 기존의 바이너리 스캐너에 비해 클래리티의 유연성과 정확성을 획기적으로 증가시킨다.
클래리티의 핑거프린트 매칭을 통하여 오픈 소스의 컴포넌트와 버전이 검출되면, 이를 미국의 정부기관 취약점 데이터베이스(NVD: National Vulnerability Database)와 리스크 베이스드 시큐리티(Risk Based Security)가 제공하는 보안취약점 데이터베이스인 VulnDB같은 다양한 데이터베이스에 목록화된 18만개이상의 알려진 보안 취약점과 비교한다. 클래리티는 바이너리의 “퍼지 매칭(fuzzy matching)”을 통해 오탐을 줄이고 정확도를 높이며 젠킨스(Jenkins)와 같은 자동화된 구축 시스템을 지원하기 위한 기업용 기능도 제공한다.
오픈소스의 핑거프린트
소스코드로부터 실행 가능한 코드(바이너리)로 변환되는 부분과 소스코드로부터 바이너리로 변환되지않고 전달되는 식별자 부분 중 변환되지 않고 전달되는 부분을 뜻하는 말로서 해당 식별자를 통해 바이너리 상태에서 사용된 오픈 소스 컴포넌트를 확인할 수 있다.
인사이너리
인사이너리는 2016년 설립된 벤처 기업으로 바이너리 레벨의 오픈소스 소프트웨어 보안 및 컴플라이언스 분야의 글로벌 리더이다. 인사이너리의 클래리티는 클라우드 또는 온프레미스(on-premise) 형태로 오픈 소스 소프트웨어를 포함한 바이너리 파일을 스캔하여 보안 취약점 및 라이선스 컴플라이언스 문제를 해결할 수 있는 보안 솔루션이다. 또한 고유한 핑거프린트기반 오픈소스 라이선스 검출 방법 및 시스템에 대한 특허를 가지고 있다. 자세한 내용은 인사이너리 공식 홈페이지 (www.insignary.com)에서 확인할 수 있다.