오픈소스 개발자를 위한 편리한 보안 툴: 스닉

개발자들에게 오픈소스 이용은 이제 일상이 됐다. 개발자들은 시장에서 널리 알려진 오픈소스 운영체제, 오픈소스 생산성 소프트웨어 및 다양한 코드 라이브러리를 사용하며 시간과 비용을 절약한다. 수년동안 오픈소스의 인기가 올라가며 모든 산업에서 대부분의 기업들이 사용하고 있다. 특히 많은 IT기업들이 개발 즉시 피드백을 받아 유동적으로 개발하는 방법인 애자일 방법론(Agile Software Development)을 도입하며 오픈소스의 활용은 더욱 중요해지고 있다. 

오픈소스는 개발환경에서 필수불가결한 요소이기 때문에 쉽게 주요 사이버 공격 대상이 된다. 지난해 말 발생한 로그4j 보안 취약점(로그4셀) 사태는 오픈 소스 생태계가 어떻게 한순간에 무너질 수 있는지 보여준 사례다. 로그4j는 자바 기반 프로그램을 개발할 때 로그의 기록 기능을 지원 및 관리하는 아파치 재단의 오픈소스 소프트웨어 라이브러리다. 해당 라이브러리는 민간 기업은 물론 금융, 의료 등 주요 정보통신기반시설 등에서 광범위하게 사용되고 있다. 

이런 로그4j에서 취약점이 발견되며 전 세계가 비상에 걸렸다. 해커가 로그4j의 취약점을 공격하면 데이터를 탈취할 수 있고, 악성코드를 심으면 시스템을 마비시킬 수 있는 상황이 발생한 것이다. 오픈소스에서 취약점이 발견되면 그 소스를 사용하는 기관과 기업들에 피해가 가는 것은 물론이고, 국가 안보를 위협하는 수준까지도 갈 수 있다고 전문가들은 경고했다. 오픈소스 활용도가 높아지며 이를 둘러싼 보안 위협도 증가할 것으로 보인다. 

오픈소스와 보안 모두에 강점을 가진 기업이 스닉(Snyk)이다. 개발자 보안의 선두주자 스닉은 "개발자에 의해, 개발자를 위한 설계를 한다"는 슬로건을 내걸고 오픈소스 코드의 취약성을 자동으로 찾을 수 있게 돕는다. 특히 개발 속도를 그대로 유지하면서 손쉽게 보안 및 컴플라이언스 이슈를 해결할 수 있도록 지원하는 게 목표다.

스닉은 업계 최초로 개발자 중심의 클라우드 보안 솔루션을 공개했다. 클라우드 시대를 위해 설계됐다는 스닉의 플랫폼을 사용하면 개발자와 보안 담당자는 전체 소프트웨어 개발 수명 주기(SDLC)에 걸쳐 클라우드 보안 태세를 모니터링하고 운영할 수 있다. 스닉의 플랫폼은 구글, 아마존, 몽고DB, 세일즈포스 등의 기업을 포함 전 세계 2000곳 이상의 고객사에서 이용되고 있다.