“오픈소스 보안취약점 관리 부실, 자동차 리콜·M&A 무산 사태 초래 가능”

오픈소스 기반의 클라우드 서비스와 애플리케이션,  사물인터넷(IoT) 기기가 최근 크게 늘어나고 있다. 오픈소스 보안취약점과 이를 악용하는 사이버공격도 해마다 증가하는 추세다.

부실한 오픈소스 보안관리로 이미 발견된 보안취약점조차 패치되지 않은 채 방치되는 상황이 이어지면서 자칫 자동차 리콜 사태가 나타날 수 있다는 경고까지 나왔다.

미국 보스턴에 본사를 둔 오픈소스 보안, 컴플라이언스 관리 전문기업인 블랙덕소프트웨어의 마이크 피튼져 부사장 겸 보안전략팀 책임자는 4일 방한해 기자들과 만나 “오픈소스 보안취약점으로 인해 올해 자동차 제조업체의 첫 번째 리콜 사태가 발생할 수 있으며, 주요 기업 간 인수합병(M&A) 거래가 무산되는 위기상황이 나타날 수 있다”는 전망을 내놨다.

또한 “올해 알려진 오픈소스 보안취약점 기반 사이버공격이 20% 증가하고 하트블리드(Heartbleed)·쉘쇼크(Shellshock) 등 이미 알려진 오픈소스 취약점과 연관된, 파급력이 큰 보안이슈가 재등장할 수 있다”고 경고하면서 기업들이 체계적인 오픈소스 보안관리를 수행해야 한다는 점을 강조했다.

오픈소스는 누구나 자유롭게 사용할 수 있도록 공개돼 있는 소프트웨어나 소스코드를 말한다. 오픈소스 사용자들은 오픈소스 보안이슈 모니터링부터 보안패치와 버전 업데이트 등까지 모든 관리를 스스로 수행해야 한다. 하지만 오픈소스를 사용하는 개발자가 많고 활용 방식과 적용 범위가 넓을수록 관리하는 것이 쉽지 않은 상황이다.

자신들이 사용하는 오픈소스를 체계적으로 관리하지 않을 경우 특정 보안취약점이 발견되더라도 위험성을 인지하지 못하는 상황이 발생할 수 있다. 이로 인해 오픈소스 보안취약점이 수년간 방치되는 일이 비일비재하다.

기업에서 개발했거나 사용중인 제품·서비스에 어떠한 오픈소스가 사용되고 있고 무슨 보안취약점이 존재하는지 알지 못한다면 사이버공격에 무방비 상태로 노출되게 된다.

신규 오픈소스 보안취약점 해마다 수천개 증가…알려진 취약점도 평균 5년간 방치

피튼져 부사장은 “오픈소스는 상용소프트웨어에 비해 보안에 취약하거나 안전하지 않은 것은 아니다”라고 전제하고 “다만 오픈소스가 가진 특징으로 인해 공격자들에게는 매력적인 악용대상이 될 수 있다”고 지적했다.

그는 “오픈소스는 도처에서 사용되고 있고 코드가 공개되기 때문에 표적으로 노출되기 쉽다. 공격자가 오픈소스 보안취약점을 찾아내 이용하거나 이미 알려진 취약점을 악용하면 생산성을 최대한 절감하고 노력을 최소화하면서도 최대 공격효과를 거둘 수 있다”라면서 오픈소스 취약점 악용 공격이 늘어나는 요인을 설명했다.

피튼져 부사장에 따르면, 오픈소스 보안취약점은 매년 2000~3000개씩 늘어나고 있다. 보안취약점 정보나 이를 악용한 공격방법은 인터넷에서 쉽게 찾을 수 있는 상황이다.

미국 국립표준기술연구소(NIST)가 운영하는 NVD(National Vulnerability Database)에서도 오픈소스 보안취약점이 공개되고 있다. 더욱이 레퍼런스 정보에는 관련 보안취약점을 증명하는 익스플로잇까지 포함되는 경우도 있다.

블랙덕소프트웨어가 지난해 상용애플리케이션 200개를 조사한 2016년 오픈소스 보안 감사(Audit) 보고서에 따르면, 상용 애플리케이션에서 발견된 오픈소스 컴포넌트의 보안취약점은 평균 5년 이상 방치된 것으로 나타났다.

지난 2014년 크게 이슈화됐던 ‘하트블리드’ 오픈SSL(Secure Socket Layer) 보안취약점은 3년간 방치돼 있었다. 그런데 현재까지도 보안조치가 제대로 이뤄지지 않은 것으로 드러났다.

운영체제 명령어 인터페이스인 배시(Bash)에서 발견된 ‘쉘쇼크’ 취약점은 지난 1989년부터 2014년까지 무려 25년간 보안취약점이 방치돼 있었다.

피튼져 부사장은 “조사해보니 대부분의 기업들이 사용하고 있는 애플리케이션 컴포넌트 리스트를 확보하고 있지 않고 있고, 확보하고 있는 기업들도 코드 소유자에게 알려진 오픈소스 컴포넌트 중 45%만 파악하고 있었다. 이는 스스로를 보호할 수 없다는 얘기”라고 말했다.

이날 오픈소스 보안취약점으로 인해 자동차 리콜 사태가 나타날 가능성을 제기한 근거로 피튼져 부사장은 “자동차 환경이 변화하면서 이제 자동차에도 1억개 넘는 코드라인이 활용될 정도로 소프트웨어가 방대하게 사용되고 있다”며 “대개 상용 소프트웨어의 35%가 오픈소스로 구성돼 있다는 점을 감안하면 3500만라인의 오픈소스가 사용된다”는 점을 제시했다.

더욱이 자동차에 탑재하는 소프트웨어는 대부분 협력업체로부터 공급받기 때문에 오픈소스가 포함됐는지 등을 정확히 파악하지 못한 채 양산을 진행할 수밖에 없는 상황이다.

만일 움직이는 자동차에 탑재된 소프트웨어에서 오픈소스 보안취약점 문제가 발생하면 공격위험에 노출돼 심각한 영향을 줄 수 있지만 인터넷과 연결해 소프트웨어 업데이트를 할 수 없기 때문에 리콜을 실시할 수밖에 없다는게 피튼져 부사장의 얘기다.

M&A에 미치는 영향과 관련해 “M&A가 진행돼 실사가 진행되는 상황에서 인수하려는 기업이 가진 소프트웨어에 오픈소스 취약점이 많아 위험이 크다고 판단할 수 있다”며 “2016년 파나마 페이퍼스 공격사례를 보면 개연성이 충분하다”고 설명했다.

파나마페이퍼스 사태는 파나마 대형 로펌인 모색 폰세카가 해킹을 당해 1150만건의 기밀정보가 유출되면서 파장이 컸다. 유력한 공격경로가 오픈소스 취약점을 이용한 것으로 추정되고 있다. 드루팔(Drupal), 워드프레스 등 사용 중이던 오픈소스에서 이미 알려진 보안취약점이 각각 수백개씩 발견됐다.

사용하는 오픈소스 가시성 확보 중요…DB화해 체계적 관리 필요

블랙덕소프트웨어는 오픈소스 보안취약점을 관리하기 위해서는 소프트웨어를 개발할 때 사용했던 오픈소스에 대한 가시성을 확보하는 것이 필수적이라고 강조했다.

더불어 오픈소스 버전 목록을 데이터베이스화해 지속적으로 관리해야 보안취약점이 발견되더라도 바로 확인해 조치할 수 있으며, 보안취약점 위험성 수준을 구분해 전문적으로 관리해야 한다고 제시했다.

김택완 블랙덕소프트웨어코리아 대표는 “오픈소스 보안취약점 문제는 대부분 사용하는 오픈소스를 파악하고 있지 못해 비롯되는 문제라는 점에서 오픈소스 가시화는 매우 중요하다”며 “기업들, 특히 개발자가 많은 대규모 기업일수록 반드시 사용 중인 오픈소스를 식별하고 DB화해 지속적으로 관리해야 한다”고 강조했다.

블랙덕소프트웨어는 인텔, SAP, 레드햇이 주요 투자자로 참여해 미국 보스턴에 본사를 두고 있는 전문기업이다. 기업에서 사용하는 오픈소스를 식별해 라이선스를 관리하는 솔루션(블랙덕 프로텍스)을 주력으로 제공해오다 지난해 오픈소스 보안취약점 관리 기능을 지원하는 전문 솔루션(블랙덕 허브)을 출시하며 관련사업을 본격화했다.

블랙덕소프트웨어코리아는 블랙덕소프트웨어 본사와 합작해 설립된 한국법인으로, 국내에서 10년째 사업을 펼치고 있다. 오픈소스 보안취약점 관리 솔루션인 ‘블랙덕 허브’를 올해부터 본격 소개하기 시작했다. 보안 사업을 확대하기 위해 작년에 애플리케이션 보안 전문기업인 엔시큐어(대표 문성준)를 파트너로 영입했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network