개발 필수요소로 자리잡은 오픈소스에 대한 포괄적인 이해 및 지속적인 관리 방안 구축이 중요하다는 전문가의 의견이 제시됐다. 글로벌 애플리케이션 보안 분야 시높시스코리아는 30일 'OSSRA(Open Source Security and Risk Analysis, 오픈 소스 보안 및 위험 분석)' 보고서를 발표하며, 오픈소스 생태계에 대한 논의 및 비즈니스 방향 및 전략을 설명하기 위한 온라인 간담회를 진행했다.
▲시높시스코리아 제병주 부장
2,409개 상용코드 97% 오픈소스 사용 위험성 다수
88% 조직서 최신 업데이트 미진...지속적 관리 필수
개발 필수요소로 자리잡은 오픈소스에 대한 포괄적인 이해 및 지속적인 관리 방안 구축이 중요하다는 전문가의 의견이 제시됐다. 의견에 따르면 오픈소스 프로젝트 중 81%가 보안에 취약하고, 88% 조직서 최신 업데이트가 미진해 지속적 관리가 필요한 것으로 나타났다.
글로벌 애플리케이션 보안 기업 시높시스코리아는 30일 'OSSRA(Open Source Security and Risk Analysis, 오픈 소스 보안 및 위험 분석)' 보고서를 발표하며, 오픈소스 생태계에 대한 논의 및 비즈니스 방향 및 전략을 설명하기 위한 온라인 간담회를 진행했다.
이번 간담회는 △인사말(Geok Cheng Tan, Managing Director, APAC SIG.) △Synopsys 기업 소개 및 비즈니스 전략 (전소현 이사) OSSRA 보고서 및 오픈소스 보안 생태계 및 위험 분석 소개 (제병주 부장) △Q&A 세션으로 구성됐다.
제병주 부장은 'OSSRA 보고서 및 오픈소스 보안 생태계 및 위험 분석 소개'를 주제로 개발 필수 요소인 오픈소스에 대해 취약점 관리·라이선스 관리·버전 관리 방안 구축이 중요하다고 주장했다.
시높시스가 2018년부터 올해 7번째 발간한 OSSRA는 글로벌 OSS 라이선스 관리 솔루션 ‘블랙덕 오딧 서비스(Black Duck Audit Services)’를 통해 실시한 전세계 17개 산업 분야의 2,400여개의 커머셜 코드 베이스에 대한 분석이 담긴 보고서다.
2022 OSSRA 보고서에 따르면, 오픈소스는 전 세계적 산업 분야의 프로젝트 97%에 사용되고 있으며, 이 중 81%는 알려진 오픈소스 취약점을 하나 이상 가지고 있었다고 밝혔다.
▲취약점을 가진 오픈소스 비율
제 부장은 OSSRA 보고서를 바탕으로 △오픈소스 취약점 비율 △고위험 취약점 비율 △Log4Shell 취약점 비율 △라이선스 충돌이 발생하는 코드 비율 △유지보수 업데이트 현황 등을 다뤘다.
엔터프라이즈·SaaS를 비롯한 다양한 산업 분야에 걸쳐 진행된 조사는 작년보다 대상 코드 베이스가 64% 증가했는데 이는 기술 및 통신 업계 연간 글로벌 인수 합병이 전년 대비 2배 이상 증가한 데 기인한다.
보고서에서 전체 코드 중 오픈소스 비율은 78%로, IoT 분야에서 다소 높게 나타났다. 이 중 취약점을 가진 오픈소스 비율은 81%에 달했으며 주요 오픈소스 중에는 제이쿼리 등이 있다. 고위험 취약점은 49% 전체 프로젝트의 절반에 달한다.
주요 산업분야에서 마케팅, 에너지, 헬스케어 등에서는 작년 대비 감소했으나, 반도체, IoT, 모바일, 로보틱스 등에서는 시장 성장과 함께 위험도가 급격히 늘어났다고 말했다. 결국 산업별로 조금씩 차이가 있지만 전반적으로 오픈소스를 사용하는 절반 정도는 해커에게 악용당할 위험에 있다고 드러났다. 특히 Log4Sgell 취약점은 오픈소스 log4j에서 발생한 취약점으로, 전체 15%에 달한 것으로 드러났다.
오픈소스 라이센스 관리에 관한 보고서 내용에서, 오픈소스간 라이센스 충돌이 발생하는 코드는 53%에 달했다고 나타났다. 라이센스가 없거나 커스텀 라이센스인 오픈소스도 30%으로, 이는 예상치 못한 법적 분쟁을 야기할 수 있기 때문에 별도의 내부 리뷰 절차를 확립할 필요가 있다고 덧붙였다.
오픈소스 유지보수 측면에서는 오픈소스 취약점을 해결하기 위해 노력한 결과 작년 대비 감소한 수치를 보였지만, 코드베이스의 절반 이상이 여전히 라이센스 충돌이 있었고, 절반에 가까운 코드에 고위험 취약성이 포함돼 있었다고 드러났다.
최신 버전이 아닌 오픈소스 포함 비율은 88%에 달했고 16%만이 최신 버전 혹은 1년 이내의 프로젝트를 사용하고 있다고 나타났으며, 이에 제 부장은 "보안 취약점을 해결한 새로운 버전을 구축해도 이후 버전 관리를 소홀히 한 채 방치하면 점점 많은 취약점에 노출될 것"이라고 말했다.
제 부장은 오픈소스 보안 취약점 해결을 위해 우선 개발 단계에서부터 문제가 있는 오픈소스를 제거하는 방안과, 소프트웨어가 어떻게 구성돼 있는지 SBOM(소프트웨어의 어떤 오픈소스가 사용됐는지 라벨 형태로 관리하기 쉽게 만든 것)을 만들어 취약점에 대응하기를 권장했다.
제 부장은 국내에서 보안 취약점 인식이 부족한 이유에 대해 "국내에서는 보안 취약점으로 인해 발생하는 문제보다 라이센스 충돌을 더 문제시 하고 있다"며 "글로벌 추세는 취약점 문제를 더 심각하게 보고 있으나, 국내는 임베디드 위주로 아직 인식이 부족하다"고 덧붙였고, "그래도 국내 작년 대비 산업 전반적으로 라이센스뿐만 아니라 보안 위험 평가 포함 비율이 늘어났다"고 말했다.
이어 국내 시장 내 현황과 관련해 제 부장은 "국내에서는 반도체 및 임베디드 분야 위주로 특화돼 있고, 최근 오픈소스 사용량이 늘어났다"고 말했다. 또한 "국내 시장에서는 시큐리티 오픈소스 검출 위한 블랙덕, 커버리피 제품 등을 주요 판매하며, LS웨어, IBM 등 파트너와 SI 영업을 진행하고 있다"고 말했다. DAST는 아직 국내 시장 영업 준비 전이라고 덧붙였다.
마지막으로 제 부장은 "결국 오픈소스의 식별, 추적 및 관리는 소프트웨어 보안의 핵심 요소로, 취약점 및 라이센싱 관리가 미흡하면 비즈니스 위험성은 필연적으로 증가한다"며, "기업 측면에서 어떻게 관리할 지 방법을 마련해 지속적으로 버전을 패치가 요구되며, 소프트웨어 고정 분석 도구의 도움이 필요할 것"이라고 말했다. 또한 "시높시스는 개발자와 소비자의 오픈 소스 생태계에 대한 이해 및 오픈소스 관리를 돕기 위한 핵심 정보를 제공한다"고 덧붙였다.
