오픈소스는 개발을 빠르고 쉽게 만들어 준다는 큰 장점을 가지고 있지만, 출처가 확실하지 않아 취약점이 개발자도 모르게 심긴다는 큰 단점도 가지고 있습니다. 이 때문에 오픈소스에 대한 관리를 제도화 하는 것에 대한 목소리가 점점 높아지고 있습니다.
오픈소스 소프트웨어에의 코드베이스 공유 비율이 2021년 한 해 동안 78% 증가했습니다. 같은 코드베이스를 사용하여 만들어진 소프트웨어가 적지 않다는 뜻인데, 이렇게 공유되는 것 대부분 취약하다는 조사 결과가 발표됐습니다. 개발자들 대부분 관리 기간이 끝났거나 관리자가 더 이상 손보지 않는 코드들을 사용하고 있다고 하며, 따라서 수많은 소프트웨어들이 취약한 채로 유통 및 사용되고 있다고 합니다.
보안 업체 시놉시스(Synopsys)가 알아낸 내용은 다음과 같습니다.
1) 최소 한 개 이상의 취약점을 내포하고 있는 소프트웨어 코드베이스 : 81%
2) 4년 이상된 오픈소스 요소들을 사용하고 있는 소프트웨어 코드베이스 : 85%
3) 지난 2년 동안 개발자의 관리가 전혀 없었던 소프트웨어 코드베이스 : 88%
하지만 이는 지난 해에 비해 대체적으로 향상된 것입니다. 왜냐하면 작년에 발표된 보고서에 나타난 위 항목의 수치는 차례대로 84%, 85%, 91%였기 때문입니다. 즉 아직 잘 하고 있다고 말하기는 어렵지만 개발사들이 올바른 방향으로 움직이기 시작했다고는 볼 수 있다고 시놉시스의 보안 전략가인 팀 맥키(Tim Mackey)는 설명합니다.
시놉시스는 17개 산업에 걸쳐 2400개 이상의 상업용 코드베이스들을 스캔해서 위 결과를 얻어냈다고 합니다. 이는 지난 해 스캔한 코드들에 비해 64% 많은 것이었습니다.
이번 연구 결과로 감사가 진행된 코드베이스들에서 고위험군 취약점들의 수가 상당히 줄어들었다는 걸 알 수 있었다고 시놉시스는 발표했습니다. 특히 가장 많이 익스플로잇 되는 상위 10개 고위험군 취약점이 발견되는 확률이 전년도에 비해 줄어들었다고 합니다. “2020년에는 가장 유명한 취약점들을 포함하고 있는 코드베이스가 29%였습니다. 2021년의 데이터는 8%에 그쳤습니다.”
시놉시스는 자주 익스플로잇 되는 취약점이 발견되는 사례가 크게 줄어든 것에 대해 다음과 같은 장치들이 사용됐기 때문이라고 말합니다.
1) 프롬프트 식별
2) 패치 우선순위 지정
3) 고위험군 취약점 패치 및 위험 완화
오픈소스라는 지속적인 위험 요소
오픈소스를 사용하지 않는 기업은 단 하나도 없다고 해도 과언이 아닐 정도로 오픈소스는 우리의 일상에 광범위하게 퍼져 있습니다. 2019년, 시놉시스가 감사한 코드베이스의 70%가 오픈소스였다고 하는데, 이것이 지난 해에는 75%로까지 증가했고, 올해는 벌써 78%에 이르고 있다고 합니다. 이제 모든 소프트웨어 개발 행위에 있어 오픈소스가 차지하는 비율을 무시할 수 없습니다.
그럼에도 오픈소스 소프트웨어의 질은 균일하지 않습니다. 어떤 오픈소스는 대단히 정교하고 꼼꼼하게 만들어져 있는가 하면, 어떤 오픈소스는 보안이라는 것에 대한 고려가 전혀 발견되지 않습니다. 그럴 수밖에 없는 게 오픈소스를 개발한 주체가 조직이 아니라 개인인 경우가 많기 때문입니다. 현재 23%의 오픈소스가 개발자 개인에 의해 유지 및 관리되고 있는데, 이 경우 조직이 관리하는 것보다 사후 서비스 질이 훨씬 낮아질 수밖에 없습니다.
오픈소스 사용자들 사이에서 최신화는 여전한 문제임이 이번 조사를 통해 드러나기도 했습니다. 88%의 코드베이스들이 최신 버전이 이미 나와 있음에도 오래된 버전인 채로 사용되고 있었기 때문입니다. “업데이트된 버전이 있다는 걸 모르기 때문일 때가 태반입니다. 그렇기 때문에 소프트웨어 물자표(SBOM)라는 개념이 도입되어야 합니다.”
소프트웨어 물자표는 요 근래 일부 보안 업계에서 계속해서 강조되고 있는 개념입니다. 하지만 아직까지 대세로 자리 잡고 있지는 않습니다. 전문가들은 향후 2년 내에 소프트웨어 물자표 제도가 주류로 올라설 것이라고 보고 있습니다. 맥키는 “그렇더라도 오픈소스 문제가 모두 해결되지는 않을 것”으로 보고 있습니다.
“대부분의 사람들은 물자표라는 것이 있더라도 그것을 어떻게 활용할지 모를 겁니다. 그들에게는 그저 하나의 거대한 문서가 더 생긴 것일 뿐이겠죠. 아무도 보지 않고 신경도 쓰지 않는 그런 어려운 기술 문서 말이예요. 물자표가 제도화 돼서 보편적으로 퍼진다고 해도, 그 자료를 활용하도록 사람들을 북돋는 일이 남아 있습니다. 어쩌면 그게 더 어려운 일일 수 있어요.”
출처 : 보안뉴스 정보유출, DLP, GRADIUSDLP, 그라디우스, 데이터유출, 정보유출방지, 내부정보유출방지, 취약점, 시큐어코딩, 취약점진단, 취약점점검, 스패로우, sparrow, vada, 시스템취약점진단