엔시큐어, 시높시스와 파트너십 계약 체결
엔시큐어를 통해 오픈소스 라이선스 점검 및 보안 취약점 분석 솔루션 등 국내 시장 본격 진출
시높시스와 엔시큐어가 파트너십 계약을 체결했다
특히 블랙덕은 GPL 및 BSD, 아파치 등 다양한 오픈소스 라이선스 정보를 제공하며 270만 개 이상의 오픈소스를 목록화하여 라이선스 준수 사항을 확인 및 분석할 수 있다. 또한 소스코드 품질 관리를 위해 소프트웨어 개발 수명 주기에 따라 오픈소스 취약점을 탐지할 수 있다.
2017년 5월 국내 대표 소프트웨어 회사가 ‘Ghostscript(고스트스크립트)’ 오픈소스를 사용해 미국 소프트웨어 업체 Artifex(아티펙스)로부터 국제 소송에 휘말린 사례가 있다. 고스트스크립트는 포스트스크립트(PostScript) 인터프리터로 이 소프트웨어를 사용하면 포스트스크립트로 쓰여진 프로그램을 실행할 수 있고 PDF 포맷의 파일을 화면에 표시하거나 프린터로 인쇄할 수 있다.
아티펙스는 해당 오픈소스를 사용한 국내 소프트웨어사가 2013년 고스트스크립트를 쓰기 시작한 이후 결과물을 오픈소스로 공개한 적이 없고 라이선스 비용 또한 지급한 적이 없다는 이유로 2016년 말 캘리포니아 주 북부 지방 법원에 소송을 제기했다. 아티펙스는 고스트스크립트 사용을 당장 중단하고 합리적인 사용료를 지불할 것을 요구했다.
또한 2018년에는 고스트스크립트에 샌드박스를 우회하는 오픈소스 취약점이 발견되었는데, 해커가 익스플로잇 공격에 성공할 경우 원격에서 승인 없이 임의로 명령을 실행할 수 있는 매우 위험한 취약점이다. 세계 시장을 대상으로 개발하는 회사라면 개발 중인 소스코드가 어떠한 오픈소스를 사용하고 있는지, 오픈소스의 취약점은 무엇인지 반드시 확인해 보아야 한다.
아래 항목은 GNU 소프트웨어에 관련된 다섯 가지 의무이다. GNU 일반 공중 사용 허가서는 누구에게나 다음의 다섯 가지의 의무를 저작권의 한 부분으로서 강제한다.
· 컴퓨터 프로그램을 어떠한 목적으로든지 사용할 수 있다. 다만 법으로 제한 하는 행위는 할 수 없다.
· 컴퓨터 프로그램의 실행 복사본은 언제나 프로그램의 소스 코드와 함께 판매 하거나 소스코드를 무료로 배포해야 한다.
· 컴퓨터 프로그램의 소스 코드를 용도에 따라 변경할 수 있다.
· 변경된 컴퓨터 프로그램 역시 프로그램의 소스 코드를 반드시 공개 배포해야 한다.
· 변경된 컴퓨터 프로그램 역시 반드시 똑같은 라이선스를 취해야 한다. 즉 GPL 라이선스를 적용해야 한다.
이번 파트너십 체결은 엔시큐어의 다양한 경험과 축적된 기술력, 전문적인 보안 컨설팅 능력을 바탕으로 국내 개발사에 폭넓은 가치를 제공하기 위해 맺어졌다.
엔시큐어 전략기획부 오연진 팀장은 “최근 소프트웨어 산업이 크게 발전함에 따라 모바일 앱 및 소프트웨어를 개발할 때 오픈소스의 라이선스와 취약점 관리를 소홀히 여기고 있다. 이는 곧 법적 분쟁을 야기할 수 있기 때문에 주의해야 한다”면서 “블랙덕 솔루션을 활용하면 오픈소스 라이선스 관리와 취약점 문제를 쉽고 빠르게 해결 할 수 있다”고 말했다.
엔시큐어 개요
엔시큐어는 2008년 한국포티파이소프트웨어로 출범하여 국내 애플리케이션 보안 분야의 선두 기업으로 자리 잡았다. 2010년 기존의 사업분야 외에 IT인프라 보안 분야까지 사업영역을 확장하였으며 2011년 엔시큐어로 사명을 변경하면서 지속적으로 양질의 정보보안 솔루션 및 컨설팅 서비스를 제공하고 있다. 국내 주요 금융사 및 제조사, 일반기업 등 다양한 레퍼런스를 보유하고 있으며 특히 엔시큐어만의 고도의 기술력 및 시스템 구축 노하우, 정보보호 컨설팅 능력을 기반으로 ‘시큐어 코딩 통합관리 솔루션’, ‘일체형 통합계정권한관리 시스템’, ‘모바일 보안 솔루션’ 등 선진적인 솔루션 및 서비스를 제공하기 위해 노력하고 있다.
Synopsys: http://www.synopsys.com/
웹사이트: https://www.ensecure.co.kr/
연락처
엔시큐어
전략기획부
최미연 대리
070-7826-6807
이메일 보내기
