[아이티데일리] 오픈소스 소프트웨어의 보안취약점에 대한 관리 필요성이 대두되고 있다.

4일 마이크 피튼저(Mike pittenger) 블랙덕소프트웨어 부사장이 방한해 오픈소스 보안에 대한 4가지 전망을 공유했다.

피튼저 부사장에 따르면 올해는 오픈소스 보안과 관련된 많은 문제가 발생할 전망이다. 블랙덕소프트웨어 측은 ▲이미 알려진 오픈소스 보안취약점을 기반으로 한 사이버 공격의 수 20% 증가 ▲기존에 알려진 보안취약점과 관련된 보안이슈가 발생할 가능성의 대두 ▲오픈소스 보안 취약점으로 인한 자동차 리콜 사태 발생 ▲보안 취약점으로 인한 M&A 취소 등 네 가지 전망을 제시했다.

소프트웨어 개발방법론이 오픈소스로 인해 변화되기 시작하며, 생산성이 높아졌지만 그만큼 보안 취약점 또한 높아진 상황이다. 김택완 블랙덕소프트웨어코리아 대표의 설명에 따르면, 현재 시판되고 있는 기기들에 사용된 임베디드소프트웨어 7~80%가 오픈소스 코드로 이뤄져있으며, 상용소프트웨어의 약 35%, 자동차의 경우 약 50% 코드라인이 오픈소스 코드인 것으로 추정된다.

오픈소스 소프트웨어는 공짜로 사용 가능하고 개발기간을 단축할 수 있는 장점이 있지만, 상용소프트웨어와 달리 보안패치를 적극 배포하는 주체가 없어 사용자의 적극적인 모니터링이 반드시 필요하다. 또한 소스가 공개돼 해커들의 취약점 발굴이 가능하다는 점, 취약점을 통한 공격방식 등이 유튜브 등으로 쉽게 공개돼 있다는 점 등 보안에 있어 치명적인 단점이 존재한다.

특히 현재의 오픈소스는 상용소프트웨어 등에도 광범위하게 사용되기 때문에 사용자들이 자신이 사용하고 있는 오픈소스의 종류조차 파악하기가 어렵다. 블랙덕에 따르면 오픈SSL 치명적인 취약점으로 알려진 ‘하트블리드(Heartbleed)’취약점, 배쉬(Bash) 쉘에서 발견된 ‘쉘쇼크(Shellshock)’취약점의 경우 알려진 지 3~6년이 지났음에도 60% 정도만이 패치돼 사용되고 있는 것으로 조사된다.

자동차의 소프트웨어 또한 보안 위협요소로 새롭게 떠오르고 있다. 새롭게 출시되는 자동차의 경우 소프트웨어의 양이 급증하고 있다. 우주왕복선의 경우 약 천만 줄의 코드라인이 사용됐지만 현재의 자동차는 이보다 월등히 많은 약 1억 줄 이상의 코드라인이 사용되고 있다. 상용소프트웨어의 약 35%가 오픈소스로 채워져 있다는 사실을 감안할 때, 약 3,500만 줄의 코드라인이 오픈소스일 것으로 추정된다.

특히 자동차의 경우 새로운 보안취약점이 발견됐을 때 이를 업데이트하기 위해서는 ECU를 연결해 시스템을 업데이트하는 수밖에 없다. 이로 인해 자동차 리콜사태는 필연적이라는 게 블랙덕 측의 전망이다. 자동차를 해킹한다고 해서 해커의 마음대로 운전을 조작한다는 것은 아직까지 어렵지만 시동을 조작한다거나, 잠긴 문을 여는 등 자동차의 도난 위험 등이 급증할 것으로 예상된다.

피튼저 부사장은 이러한 위협을 해결하기 위해 ‘오픈소스 가시화’가 가장 중요하다고 언급했다. 사용자 스스로 사용하고 있는 오픈소스의 종류와 버전을 정확하게 파악하고 보안업데이트를 적극 수행할 수 있어야 보안 취약점을 통한 공격으로부터 안전하다는 것이다.

마이크 피튼저 블랙덕소프트웨어 부사장은 “오픈소스 소프트웨어가 상용 소프트웨어에비해 보안이 취약하다는 것은 아니다”라며, “오픈소스의 특성으로 인해 사용자들이 자신의 오픈소스를 정확히 파악하고 보안패치 등에 적극 대처하는 자세가 필요하다”고 말했다.