25일 블랙덕소프트웨어코리아는 오픈소스 보안 및 관리를 위한 자동화 솔루션 전문기업 시놉시스(Synopsys)의 ‘2018 오픈소스 보안과 리스크 분석’ 보고서 내용을 바탕으로 이같이 밝혔다. 보고서에 따르면 오픈소스 보안취약점은 최근 5년간 지속적으로 증가해오고 있다. 2017년에 새롭게 발견된 오픈소스 컴포넌트 보안취약점은 약 4,800개 이상이며, 코드베이스당 오픈소스 보안취약점 수는 2016년 대비 최대 134%까지 증가한 바 있다.

또한 검증된 코드베이스에서 발견된 보안취약점의 54% 이상이 고위험군에 속했다. 가장 높은 위험도의 보안취약점은 아파치 커먼 컬렉션(Apache Commons Collections)과 스프링 프레임워크(Spring Framework)와 같이 보편적인 컴포넌트로 작년과 동일했으며, 코드베이스의 약 17%는 하트브리드(Heartbleed), 로그잼(Logjam), 푸들(Poodle)과 알려진 보안취약점을 포함했다.

보안취약점을 지닌 컴포넌트는 모든 산업군에서 발견됐다. 그 중 심각한 보안취약점을 포함하는 앱 비율이 가장 높은 산업군은 인터넷 & 소프트웨어 기반 시설(67%)이었으며, 인터넷 & 모바일 애플리케이션 산업(60%)이 뒤를 이었다. 금융 서비스 및 핀테크 시장은 전체 앱의 약 34%가 심각한 보안취약점을 지닌 것으로 나타났고, 헬스케어, 헬스테크 및 라이프 사이언스 산업은 31%로 비슷한 수준을 보였다.

오픈소스 라이선스 충돌은 보안취약점과 함께 대표적인 오픈소스 관리 이슈다. 오픈소스 컴포넌트는 조사된 애플리케이션의 96%에 달했으며, 이 중 74%는 라이선스 충돌이 있는 컴포넌트를 포함했다. 산업군별 라이선스 충돌을 포함한 애플리케이션의 비율은 최저가 61%로 평균 비율이 보안취약점 대비 더 높은 것으로 나타났다. 라이선스 이슈 비율이 가장 높은 산업은 제조업으로 약 91%에 달했고, 기업 소프트웨어(83%)가 그 뒤를 이었다. 금융 및 핀테크 산업(78%)은 세 번째로 높은 것으로 확인됐다.

시놉시스 측은 “오픈소스 라이선스 의무사항을 준수하지 않을 경우 법적 소송 또는 IP 침해 등의 심각한 위험에 처할 수 있고, 오픈소스의 보안취약점은 사이버 공격의 표적이 되기 쉽다”고 지적하며, 기업들이 이를 위한 근본적인 대응 방안을 마련할 필요가 있다고 강조했다.

김택완 블랙덕소프트웨어코리아 대표는 “오픈소스를 둘러싼 이슈관리를 위해서는 오픈소스 가시화가 필수”라며, “이는 인력만으로 해결될 수 없는 영역이기 때문에 자동화된 툴을 통해 오픈소스의 보안취약점과 라이선스 리스크를 탐지해야 한다”고 말했다.

이번 ‘2018 오픈소스 보안과 리스크 분석’ 보고서는 시놉시스 오픈소스 연구 및 혁신 주관센터(COSRI)에 의해 작성됐다. 조사 대상은 2017년 오픈소스 검증을 수행한 1,100개의 상용 소프트웨어의 익명화된 데이터다. 보고서의 원문과 번역본은 블랙덕소프트웨어코리아 홈페이지에서 다운로드할 수 있다.