오픈소스 보안관리 취약…사용 코드 78% 취약점 보유, 절반이 고위험군

오픈소스 활용이 크게 확산되고 있다. 하지만 오픈소스를 소프트웨어 개발에 사용하는 기업들의 보안관리는 취약한 상황이다.

오픈소스 보안취약점을 패치하는 등 관리하지 않을 경우 사이버공격에 노출될 수 있다.

오픈소스 보안관리 자동화 솔루션 업체인 시놉시스가 최근 발표한 ‘2018 오픈소스 보안과 리스크 분석’ 보고서에 따르면, 오픈소스 보안취약점은 최근 5년간 지속적으로 증가하는 추세다.

2017년 새롭게 발견된 오픈소스 컴포넌트 보안취약점은 약 4800개 이상이다. 코드베이스 당 오픈소스 보안취약점 수는 2016년 대비 최대 134%까지 증가했다.

상용 애플리케이션의 96%가 오픈소스를 사용하고 있는 것으로 나타난 가운데, 오픈소스 컴포넌트를 사용하는 애플리케이션 내에서 보안취약점이 발견된 수치는 78%다. 코드베이스당 평균 64개의 보안취약점이 존재한다.

특히, 올해 보고된 보안취약점의 평균 연령(보안취약점이 공개된 후 지난 햇수)은 작년 대비 2년 증가한 6년으로 나타났다. 점점 더 많은 보안취약점들이 코드베이스에 축적되며 해커의 공격 대상이 되고 있다는 것을 알 수 있다.

검증된 코드베이스에서 발견된 보안취약점의 54% 이상이 고위험군에 속하는 것으로 분석됐다. 가장 높은 위험도의 보안취약점은 아파치 커먼스 컬렉션스(Apache Commons Collections)와 스프링 프레임워크(Spring Framework)같은 보편적인 컴포넌트로 작년과 동일했다. 코드베이스의 약 17%는 하트블리드(Heartbleed), 로그잼(Logjam), 푸들(Poodle)처럼 널리 알려진 보안취약점으 포함하고 있다.

보안취약점을 지닌 컴포넌트는 모든 산업군에서 발견됐다. 그 중 심각한 보안취약점을 포함하는 애플리케이션 비율이 가장 높은 산업군은 인터넷·소프트웨어 기반 시설(67%) 이었고, 인터넷·모바일 애플리케이션 산업(60%)이 뒤를 이었다.

일반 대중들이 민감하게 여기는 금융 서비스 및 핀테크 시장은 전체 애플리케이션의 약 34%가 심각한 보안취약점을 지닌 것으로 집계됐다. 헬스케어, 헬스테크 및 라이프 사이언스 산업은 31%로 비슷한 수준을 보였다.

보안취약점과 함께 오픈소스 관리상 나타나는 또 다른 이슈는 오픈소스 라이선스 충돌이다. 오픈소스 컴포넌트는 조사된 애플리케이션의 약 96%에 존재하며, 이 중 74%는 라이선스 충돌이 있는 컴포넌트를 포함했다.

산업군별 라이선스 충돌을 포함한 애플리케이션의 비율은 최저가 61%로 평균 비율이 보안취약점 대비 더 높은 것으로 나타났다. 라이선스 이슈 비율이 가장 높은 산업은 제조업으로 약 91%에 달했고, 기업 소프트웨어(83%)가 그 뒤를 이었다. 금융 및 핀테크 산업(78%)은 세 번째로 높은 것으로 확인됐다.

오픈소스 관리 솔루션 전문업체인 블랙덕소프트웨어코리아의 김택완 대표는 “오픈소스를 둘러싼 이슈관리를 위해서는 오픈소스 가시화가 필수”라며, “인력만으로 해결될 수 없는 영역이기 때문에 자동화된 툴을 통해 오픈소스의 보안취약점과 라이선스 리스크를 탐지해야 한다”고 말했다. 이어 “철저한 오픈소스 리스크 관리야말로 오픈소스 활용을 통해 기업 경쟁력을 강화하는 지름길”이라고 덧붙였다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network