11.22
뉴스홈 > 보안/해킹
“오픈소스 사용한 상용 앱 중 78%가 보안 취약”시놉시스, ‘2018 오픈소스 보안과 리스크 분석’ 보고서 발간

   
▲ ‘2018 오픈소스 보안과 리스크 분석’ 보고서 인포그래픽

[아이티데일리] 오픈소스 컴포넌트를 사용하는 애플리케이션 내 보안취약점 발견율이 약 78%에 달하며, 코드베이스당 평균 64개의 보안취약점이 존재한다는 조사 결과가 나왔다. 특히 올해 보고된 보안취약점의 평균 연령은 6년으로 지난해 대비 2년 증가했으며, 점점 더 많은 보안취약점들이 코드베이스에 축적되며 해커의 공격 대상이 되고 있음을 시사했다.

25일 블랙덕소프트웨어코리아는 오픈소스 보안 및 관리를 위한 자동화 솔루션 전문기업 시놉시스(Synopsys)의 ‘2018 오픈소스 보안과 리스크 분석’ 보고서 내용을 바탕으로 이같이 밝혔다. 보고서에 따르면 오픈소스 보안취약점은 최근 5년간 지속적으로 증가해오고 있다. 2017년에 새롭게 발견된 오픈소스 컴포넌트 보안취약점은 약 4,800개 이상이며, 코드베이스당 오픈소스 보안취약점 수는 2016년 대비 최대 134%까지 증가한 바 있다.

또한 검증된 코드베이스에서 발견된 보안취약점의 54% 이상이 고위험군에 속했다. 가장 높은 위험도의 보안취약점은 아파치 커먼 컬렉션(Apache Commons Collections)과 스프링 프레임워크(Spring Framework)와 같이 보편적인 컴포넌트로 작년과 동일했으며, 코드베이스의 약 17%는 하트브리드(Heartbleed), 로그잼(Logjam), 푸들(Poodle)과 알려진 보안취약점을 포함했다.

보안취약점을 지닌 컴포넌트는 모든 산업군에서 발견됐다. 그 중 심각한 보안취약점을 포함하는 앱 비율이 가장 높은 산업군은 인터넷 & 소프트웨어 기반 시설(67%)이었으며, 인터넷 & 모바일 애플리케이션 산업(60%)이 뒤를 이었다. 금융 서비스 및 핀테크 시장은 전체 앱의 약 34%가 심각한 보안취약점을 지닌 것으로 나타났고, 헬스케어, 헬스테크 및 라이프 사이언스 산업은 31%로 비슷한 수준을 보였다.

오픈소스 라이선스 충돌은 보안취약점과 함께 대표적인 오픈소스 관리 이슈다. 오픈소스 컴포넌트는 조사된 애플리케이션의 96%에 달했으며, 이 중 74%는 라이선스 충돌이 있는 컴포넌트를 포함했다. 산업군별 라이선스 충돌을 포함한 애플리케이션의 비율은 최저가 61%로 평균 비율이 보안취약점 대비 더 높은 것으로 나타났다. 라이선스 이슈 비율이 가장 높은 산업은 제조업으로 약 91%에 달했고, 기업 소프트웨어(83%)가 그 뒤를 이었다. 금융 및 핀테크 산업(78%)은 세 번째로 높은 것으로 확인됐다.

시놉시스 측은 “오픈소스 라이선스 의무사항을 준수하지 않을 경우 법적 소송 또는 IP 침해 등의 심각한 위험에 처할 수 있고, 오픈소스의 보안취약점은 사이버 공격의 표적이 되기 쉽다”고 지적하며, 기업들이 이를 위한 근본적인 대응 방안을 마련할 필요가 있다고 강조했다.

김택완 블랙덕소프트웨어코리아 대표는 “오픈소스를 둘러싼 이슈관리를 위해서는 오픈소스 가시화가 필수”라며, “이는 인력만으로 해결될 수 없는 영역이기 때문에 자동화된 툴을 통해 오픈소스의 보안취약점과 라이선스 리스크를 탐지해야 한다”고 말했다.

이번 ‘2018 오픈소스 보안과 리스크 분석’ 보고서는 시놉시스 오픈소스 연구 및 혁신 주관센터(COSRI)에 의해 작성됐다. 조사 대상은 2017년 오픈소스 검증을 수행한 1,100개의 상용 소프트웨어의 익명화된 데이터다. 보고서의 원문과 번역본은 블랙덕소프트웨어코리아 홈페이지에서 다운로드할 수 있다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오