[아이뉴스24 성지은기자] 전 세계를 강타한 랜섬웨어 '워너크라이(WannaCry)' 사태로 보안에 대한 중요성이 강조되고 있는 가운데, 오픈소스 보안 취약점이 해커들의 다음 공격 목표가 될 가능성이 높다는 우려가 나왔다.
글로벌 오픈소스 보안 및 관리 전문기업 블랙덕소프트웨어는 최근 발표한 '2017 오픈소스 보안과 리스크 분석' 보고서에 이같은 내용을 담았다.
보고서에 따르면, 지난해 새롭게 발견된 오픈소스 컴포넌트 보안 취약점은 3천623개로 하루에 10여개씩 새로운 보안 취약점이 발견됐다.
오픈소스 컴포넌트를 사용하는 애플리케이션에 대한 보안 취약점 발견율은 67% 이상이며, 각 애플리케이션 당 발견된 보안 취약점은 평균 27개로 집계됐다.
관련 보안 취약점은 수정되지 않은 채 평균 4년 이상 공개적으로 노출돼 해커들의 공격대상이 되는 것으로 나타났다.
또 이번 조사를 통해 발견된 보안 취약점의 52.6%가 미국립표준기술연구소(NIST)에서 높은 위험도의 취약점으로 지정된 것으로 확인됐다.
블랙덕소프트웨어에 따르면, 높은 위험도의 보안 취약점은 ▲아파치 커먼스 컬렉션스(Apache Commons Collections) ▲스프링 프레임워크(Spring Framework) ▲오픈(Open)SSL 같은 보편적인 컴포넌트에서 발견됐다.
운영시스템이나 프로그래밍 언어의 핵심이 되는 인프라용 컴포넌트에서도 다수의 심각한 보안위협이 발견됐는데, 리눅스 커널(Linux Kernel) v.2.6.27.7의 경우 전체 보안취약점이 293개, 심각한 보안 취약점이 73개 발견됐다.
금융 서비스와 핀테크 산업은 특히 오픈소스 보안에 취약한 것으로 나타났다. 애플리케이션 당 보안 취약점 평균 개수는 전체 산업군 중 가장 많은 평균 52.5개로 조사됐다.
심각한 보안 취약점을 포함하는 애플리케이션 비율이 가장 높은 산업군은 리테일 및 이커머스 산업(83%)으로 보고됐다. 조사된 전체 애플리케이션 중 60%가 높은 위험도의 보안 취약점을 포함하고 있었다.
또 이번에 조사된 사이버 보안 애플리케이션의 59%도 높은 위험도의 보안 취약점을 내포하는 것으로 확인됐다.
이에 블랙덕소프트웨어는오픈소스 보안 방안으로 ▲사용한 오픈소스의 전체 목록 구축 ▲기존 알려진 보안 취약점과 오픈소스 맵핑 ▲라이선스와 품질 리스크 식별 ▲오픈소스 리스크 정책 집행 ▲새로운 보안위협에 대한 모니터링 등을 권했다.
김택완 블랙덕소프트웨어코리아 대표는 "보안 취약점, 라이선스 위반 등 오픈소스를 둘러싼 이슈 관리를 위해서는 오픈소스 가시화 및 관리가 필수"라며 "이는 인력만으로 해결될 수 없는 영역이기 때문에 자동화된 툴을 통해 탐지하고 애플리케이션을 보호하는 것이 기업 경쟁력을 강화에 도움이 될 것"이라고 설명했다.
한편, 이번 보고서의 원문은 블랙덕소프트웨어코리아 홈페이지에서 확인할 수 있다. 블랙덕소프트웨어코리아는 지난 2006년 국내법인을 설립한 이후, 오픈소스 보안, 컴플라이언스 및 거버넌스 솔루션을 제공하고 오픈소스 컨설팅을 수행하고 있다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기