UPDATE. 2024-03-29 (금)
[분석] 시높시스 “상용 소프트웨어 96% 오픈소스 포함, 그중 78%는 보안 취약”
[분석] 시높시스 “상용 소프트웨어 96% 오픈소스 포함, 그중 78%는 보안 취약”
  • 정지수 기자
  • 승인 2018.06.25 15:51
  • 댓글 0
이 기사를 공유합니다

오픈소스 보안취약점 및 라이선스 관리의 중요성 다룬 ‘2018 오픈소스 보안과 리스크 분석’ 보고서 발간
[사진 = 픽사베이 제공]
[사진 = 픽사베이 제공]

 

에퀴팩스의 주요 데이터 유출 사건이 오픈소스 보안 관리 필요성에 대한 경각심을 불러일으킨 가운데, 해킹을 통해 IoT 디바이스를 물리적 공격에 활용하는 사례도 다양하게 발생했다. 이에 따라 산업 전반에서의 오픈소스 보안취약점 대응책 마련에 대한 기업의 노력이 촉구되고 있다.

블랙덕소프트웨어코리아가 오픈소스 보안 및 관리를 위한 자동화 솔루션의 글로벌 리더인 시높시스의 ‘2018 오픈소스 보안과 리스크 분석’ 보고서를 바탕으로 25일 발표한 자료에 따르면 오픈소스 보안취약점은 최근 5년간 지속적으로 증가해왔다.

오픈소스 보안과 리스크 분석 보고서 2018 일부 내용
오픈소스 보안과 리스크 분석 보고서 2018 일부 내용

 

2017년 새롭게 발견된 오픈소스 컴포넌트 보안취약점은 약 4800개 이상이며, 코드베이스 당 오픈소스 보안취약점 수는 2016년 대비 최대 134%까지 증가한 바 있다.

오픈소스 컴포넌트를 사용하는 애플리케이션 내 보안취약점 발견율은 약 78%로, 코드베이스당 평균 64개의 보안취약점이 존재하는 것으로 확인됐다. 특히 올해 보고된 보안취약점의 평균 연령*은 작년 대비 2년 증가한 6년으로, 점점 더 많은 보안취약점들이 코드베이스에 축적되며 해커의 공격 대상이 되고 있음을 시사했다.

◇오픈소스 컴포넌트의 보안 리스크

조사된 보고서에 따르면, 검증된 코드베이스에서 발견된 보안취약점의 54% 이상이 고위험군에 해당되었다. 가장 높은 위험도의 보안취약점은 Apache Commons Collections와 Spring Framework와 같은 보편적인 컴포넌트로 작년과 동일했으며, 코드베이스의 약 17%는 Heartbleed, Logjam, Poodle와 같이 널리 알려진 보안취약점을 포함했다.

◇산업별 오픈소스 보안 리스크

보안취약점을 지닌 컴포넌트는 모든 산업군에서 발견됐다. 그 중 심각한 보안취약점을 포함하는 애플리케이션 비율이 가장 높은 산업군은 인터넷 & 소프트웨어 기반 시설(67%) 이었으며, 인터넷 & 모바일 애플리케이션 산업(60%)이 뒤를 이었다. 일반 대중들이 민감하게 여기는 금융 서비스 및 핀테크 시장은 전체 애플리케이션의 약 34%가 심각한 보안취약점을 지닌 것으로 나타났고, 헬스케어, 헬스테크 및 라이프 사이언스 산업은 31%로 비슷한 수준을 보였다.

◇오픈소스 라이선스 충돌

오픈소스 라이선스 충돌은 보안취약점과 함께 대표적인 오픈소스 관리 이슈이다. 오픈소스 컴포넌트는 조사된 애플리케이션의 약 96%에 존재하며, 이 중 74%는 라이선스 충돌이 있는 컴포넌트를 포함했다.

산업군별 라이선스 충돌을 포함한 애플리케이션의 비율은 최저가 61%로 평균 비율이 보안취약점 대비 더 높은 것으로 나타났다. 라이선스 이슈 비율이 가장 높은 산업은 제조업으로 약 91%에 달했고, 기업 소프트웨어(83%)가 그 뒤를 이었다. 금융 및 핀테크 산업(78%)은 세 번째로 높은 것으로 확인됐다.

 

◇효율적인 오픈소스 보안 및 관리방안

시높시스의 검증 데이터는 오픈소스 컴포넌트가 다양한 산업군에서 상용 애플리케이션의 11~77%를 차지함을 보여주었다. 오픈소스 라이선스 의무사항을 준수하지 않을 경우 법적 소송 또는 IP 침해 등의 심각한 위험에 처할 수 있고, 오픈소스의 보안취약점은 사이버 공격의 표적이 되기 쉽다. 기업은 이를 위한 근본적인 대응 방안을 마련할 필요가 있다.

김택완 블랙덕소프트웨어코리아 대표는 “오픈소스를 둘러싼 이슈관리를 위해서는 오픈소스 가시화가 필수”라며 “이는 인력만으로 해결될 수 없는 영역이기 때문에 자동화된 툴을 통해 오픈소스의 보안취약점과 라이선스 리스크를 탐지해야 한다”고 말했다. 또한 “철저한 오픈소스 리스크 관리야말로 오픈소스 활용을 통해 기업 경쟁력을 강화하는 지름길”이라고 덧붙였다.

◇조사 방법

‘2018 오픈소스 보안과 리스크 분석’ 보고서는 Synopsys 오픈소스 연구 및 혁신 주관센터(COSRI)에 의해 작성되었고, 조사 대상은 2017년 오픈소스 검증을 수행한 1100개의 상용 소프트웨어의 익명화된 데이터이다.

■ 블랙덕소프트웨어코리아 개요

블랙덕소프트웨어코리아는 최고의 오픈소스 관리 솔루션 및 컨설팅 공급사로, 2006년 한국에 최초로 오픈소스 보안과 컴플라이언스 리스크 관리의 중요성을 소개한 이래 글로벌 오픈소스 컨퍼런스 개최, 오픈소스 거버넌스 백서 발간, 세미나 개최 등 다양한 활동을 통해 정부 및 국내기업의 오픈소스 활용 및 거버넌스 활성화에 대한 인식 제고와 확산에 앞장서 왔다. 국내외 다양한 오픈소스 관련 단체 및 선도기업과의 협업을 통해 오픈소스 컴플라이언스 및 거버넌스에 기여하고 있다. 블랙덕소프트웨어코리아의 본사는 미국 보스턴에 위치한 Black Duck Software이며 2017년 12월 11일, 글로벌 소프트웨어 기업 Synopsys 의해 인수되었다. Synopsys는 소프트웨어 개발 수명주기와 공급망에 무결성(보안 및 품질)을 구축하기 위한 가장 포괄적인 솔루션을 제공한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.