오픈소스 보안 취약점 자동분석 시스템
차량용 소프트웨어 및 교통관리 시스템 개발부터 공급까지 전 생명주기에 걸쳐 사용되는
모든 오픈소스 소프트웨어의 라이선스 및 보안 취약점을 사전에 점검하고 해결합니다.
1. 오픈소스 사용에 따른 보안 리스크 증가
(가) 알려진 취약점(CVE) 14만개 이상 공개, 매일 50개 이상의 새로운 취약점 발견
(나) 전세계 금융거래의 50% 이상이 오픈소스를 통해 처리, 전체 오픈소스 75%에 1개 이상의 취약점 보유
(다) IoT 기기 보안 관리의 필요성(최신 스마트 기기의 취약점 2~300개, 이로 인해 고도화된 해킹 범죄 유발)
2. 라이선스 규정 위반으로 인한 법적 분쟁 발생
3. 소프트웨어 공급망 관리의 필요성
(가) 과학기술정보통신부는 2021년 1월 정보통신망연결 기기의 범위 확대(가전, 교통, 금융, 스마트시티, 의료, 제조/생산, 주택, 통신)
(나) 'IoT 보안 인증'을 '정보통신망기기 정보보호인증'으로 개편하여 2022년 하반기부터 시행 예정
4. 다양한 오픈소스 사용 패턴에 의한 관리의 어려움 증대
(가) 오픈소스의 안전한 공급망 관리를 위한 SBOM 필요
*미국 바이든 행정부에서 SBOM 의무 사용 공지
Security Analyzer 기능
1. Code Privacy를 위해 소스코드 해시 암호화
- 모든 사용 언어 적용 가능
2. 빅데이터(VDB) 축적 관리
- 취약점 및 기계학습기반 비공개 피치 수집 관리
- 오픈소스 컴포넌트 수집, 자체 취약점 등록
3. AI 분석 알고리즘
- 특허기술(VUDDY)을 활용하여
함수 및 파일 기반 취약점 분석
- 패키지 매니저의 디펜던시 분석을 통한
다양한 결과 도출
- 결과 피드백 학습을 통한
정확도 향상 및 신규 취약점 탐지
4. Software BoM(Bill of Materials) 관리
- 대상 SW에서 사용된 모든 구성 항목,
라이선스 목록 제공
각 단계별 지원서비스
어떤 운영 환경에서도,
안전한 오픈소스 SW 관리 시스템
Security Analyzer를 내부망에 도입하여 오픈소스 SW 관리시스템 구축
- 마스터 DB 사용 유형
1. 중계서버를 통해 자동으로 정기적 DB 업데이트 진행
2. 완전한 폐쇄망의 경우, 저장 매체를 통한 물리적 업데이트 진행
Security Analyzer를 내부망에 도입하여 오픈소스 SW 관리시스템 구축
- 소스코드 Privacy 보호
1. 사용자가 내부망에서 Security Analyzer CLI를 통해 소스코드 암호화(Hash)
2. 암호화된 파일을 Security Analyzer SaaS에 전달 후 분석∙진행하므로
소스코드의 외부 노출 없음
AutoCrypt Security Analyzer를 선택해야 하는 이유
제로에 가까운 오탐률
백포팅 해법
취약점만 해결 가능한
검증된 패치정보 제공
자체 취약점 관리 가능
컴포넌트 단위 포함, 함수단위의
자체 취약코드 등록 및 탐지 가능
Zero Day 취약점 탐지
변경 및 조각난 유사코드 매칭으로
알려지지 않은 취약점까지 탐지
추가 문의사항은 하단 문의하기 폼으로 연락주시면 바로 대응해드리겠습니다.