10년이상 취약점 내포한 오픈소스 43%…대응 시급

실시간
뉴스

소프트웨어

10년이상 취약점 내포한 오픈소스 43%…대응 시급

디지털데일리 발행일 2019-07-24 10:03:00

홍하나

URL복사

[디지털데일리 홍하나기자] 기업, 공공기관이 오픈소스 소프트웨어(SW)를 활용하는 것은 세계적인 추세다. 국내에서도 오픈소스 시장이 무르익으면서 사용률이 늘어나고 있다. 하지만 자칫하면 오픈소스 취약점이 공개돼 큰 위협으로 번질 수 있다는 지적이 이어지고 있다.

지난 23일 서울 중구 페럼타워에서 진행된 ‘안전한 오픈소스 활용 및 도입전략 컨퍼런스’에서 기업 담당자들은 오픈소스의 보안 취약성과 관리 방법에 대해 의견을 공유했다.

오픈소스란 저작권이 있으나 소스코드 공개를 통해 자유롭게 사용, 복제, 수정, 배포할 수 있는 SW를 말한다. SW개발공급업체 시높시스에 따르면, 오픈소스는 작년 조사에서 총 분석된 코드 가운데 60%를 차지한다.

하지만 취약점에 대한 패치 관리는 미미한 실정이다. 시높시스의 또 다른 연구조사에 따르면, 2018년에 검사된 코드베이스의 60%에는 하나 이상의 취약점이 포함됐다. 또 같은 해 검사한 코드베이스에서 10년 이상 된 취약점이 포함된 비율은 약 43%로 나타났다.

정성훈 시높시스 코리아 차장은 “많은 회사들이 오픈소스에 패치를 적용하지 않아 위험에 노출되고 있다”며 “오픈소스 일부 특성을 활용해, 공격자는 잘 알려진 컴포넌트의 취약점을 더 쉽게 이용할 수 있다”고 지적했다.

게시자가 사용자에게 수정, 패치, 업데이트를 자동으로 푸시할 수 있는 상용 SW와 달리, 오픈소스는 풀 지원 모델을 갖는다. 따라서 사용 중인 오픈소스에 대한 취약점과 수정 사항을 모두 추적해야 한다고 정 차장은 강조했다.

무엇보다 오픈소스는 공공에서 가장 많이 활용하고 있다. 그 중에서도 민감한 곳은 ‘국방’이다. 이날 관련 주제 발표를 맡은 한컴MDS 김명호 실장은 “최근 국방에서 가장 민감하게 여기는 오픈소스 보안 이슈는 무인”이라며 “무인 자동차, 선박, 드론 등의 해킹을 무시할 수 없다”고 설명했다.

우리 국방부에서는 오픈소스를 공개SW의 일환으로 보고 있다. 무기체계 SW의 공개SW 관리 방법에 따라, 전장정보체계에 사용되는 공개SW에 대해서는 보안성 시험 수행을 원칙으로 하고 있다. 내부적으로 오픈소스의 취약점을 시험하고 검증한 뒤 도입하는 방식이다.

반면 미국에서는 취약점 발견을 외부에 맡긴다. 내부적으로 오픈소스 사용을 장려하고 있는 미 국방부에서는 사용하고 있는 소스코드를 공개한다. 직접 발견하지 못한 코드의 취약점을 외부를 통해 파악하고 있다.

김명호 실장은 오픈소스의 취약점 관리를 위해 예방적인 관리체계를 구축해야 한다고 권고했다. 그는 “시스템을 구축해 자동적으로 검사할 수 있도록 하는 방법이 있다”며 “기업에서 자주 사용하는 오픈소스를 파악하고 여기에 대한 보안 취약점 관리를 하는 것이 가장 현실적인 방법”이라고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr