2017년 새 오픈소스 컴포넌트 보안취약점이 5천개 가까이 발견됐다는 조사 보고서가 나왔다.
오픈소스 관리 및 컨설팅 솔루션 업체 블랙덕소프트웨어를 인수한 시놉시스(Synopsis)는 최근 '2018 오픈소스 보안과 리스크 분석' 보고서를 통해 오픈소스 보안취약점이 최근 5년간 지속 증가해 왔고 2017년 새 보안취약점이 4800개 이상 발견됐다고 밝혔다.
보고서는 코드베이스당 오픈소스 보안취약점 수가 2016년대비 134%까지 증가했다고 지적했다. 오픈소스 컴포넌트 사용 애플리케이션 내 보안취약점 발견율은 78%고 코드베이스당 보안취약점은 평균 64개였다.
보안취약점이 공개된 후 지난 햇수를 의미하는 '보안취약점 평균 연령'은 작년대비 2년 증가해 올해 6년을 기록했다. 이는 점점 더 많은 보안취약점이 코드베이스에 축적돼 해커의 표적이 됨을 뜻한다는 설명이다.
검증된 코드베이스에서 발견된 보안취약점 54% 이상이 고위험군에 해당했다. 최고위험 보안취약점은 지난해와 마찬가지로 아파치커먼즈컬렉션즈, 스프링 프레임워크 등 보편적인 컴포넌트에서 발견됐다. 코드베이스 17%가 하트블리드, 로그잼, 푸들 등 유명 취약점을 포함했다.
보안취약점을 지닌 컴포넌트는 모든 산업군에서 발견됐다. 심각한 보안취약점을 포함한 애플리케이션 비율은 인터넷과 소프트웨어 기반시설(67%), 모바일 애플리케이션 산업(60%) 순으로 높았다. 대중에게 민감한 금융 서비스와 핀테크(34%)와 헬스케어, 헬스테크 및 생명과학 산업(31%)은 비슷한 수준을 보였다.
보고서는 보안취약점과 함께 또다른 오픈소스 관리 이슈인 라이선스 충돌 문제를 다뤘다. 조사된 애플리케이션 96%가 오픈소스 컴포넌트를 포함했다. 그중 74%는 라이선스 충돌이 있는 컴포넌트를 포함했다.
산업별 라이선스 충돌을 포함한 애플리케이션 비율은 제조업(91%), 기업 소프트웨어(83%), 금융 및 핀테크 산업(78%) 순으로 높았다. 최저 비율이 61%로, 산업별 평균 라이선스 충돌 애플리케이션 비율은 보안취약점 대비 높았다.
시놉시스는 오픈소스 컴포넌트가 다양한 산업군에서 상용 애플리케이션 11~77%를 차지했다고 지적하며 "오픈소스 보안취약점은 사이버공격 표적이 되기 쉽고 오픈소스 라이선스 의무사항을 준수하지 않을 경우 법적 소송 또는 IP 침해 등 위험에 처할 수 있다"며 "이를 대응할 방안을 마련할 필요가 있다"고 강조했다.
관련기사
- 블랙덕SW코리아, 한사회와 오픈소스 컴플라이언스 협약2018.06.26
- "오픈소스 전문가 많지만 '오픈소스 보안 전문가' 부족"2018.06.26
- "오픈소스 취약점 관리, 가시화-컨설팅으로 대응해야"2018.06.26
- 쿤텍, 오픈소스SW '라이선스리스크' 대응서비스 제공2018.06.26
이 보고서는 시놉시스 오픈소스 연구 및 혁신 주관센터(COSRI)가 작성했다. 보고서에서 다룬 조사 대상은 2017년 오픈소스 검증을 수행한 1천100개 상용 소프트웨어의 익명화 데이터다. 시놉시스와 협력하는 블랙덕소프트웨어코리아 홈페이지에서 보고서 원문과 번역판을 내려받을 수 있다.
김택완 블랙덕소프트웨어코리아 대표는 "오픈소스를 둘러싼 이슈관리를 위해 자동화된 툴을 통해 오픈소스의 보안취약점과 라이선스 리스크를 탐지해야 한다"며 "철저한 오픈소스 리스크 관리야말로 오픈소스 활용을 통해 기업 경쟁력을 강화하는 지름길"이라고 말했다.
