워너크라이에 이어 웹 호스팅 기업 인터넷나야나 랜섬웨어 피해까지 발생하면서 랜섬웨어는 전 세계의 공포가 되고 있다. 이와 함께 오픈소스 취약점을 악용한 랜섬웨어 공격이 발생한다면, ‘보안 사고의 새로운 역사’를 쓰게 될 것이라는 경고도 나온다.
이미 오픈소스를 악용하는 랜섬웨어가 발표된 바 있다. 랜섬웨어 공격 방식과 위험도 등을 가르치기 위해 오픈소스로 개발된 코드를 악용한 ‘매직(Magic)’ 랜섬웨어가 지난해 발견된 바 있다.
블랙덕소프트웨어가 5월 발표한 보고서 ‘2017 OSSRA(Open Source Security & Risk Analysis)’에 따르면 96%의 애플리케이션이 오픈소스를 사용하고 있으며, 67%는 취약점이 있는 오픈소스를 사용하고 있다. 금융산업에서는 앱 당 52개의 취약점을 보유하고 있으며, 60%는 고위험 취약점을 내포하고 있다. 리테일과 이커머스 앱은 무료 83%가 높은 위험의 보안 취약점이 있다.
김병선 블랙덕소프트웨어코리아 상무는 “거의 모든 산업군에서 오픈소스가 사용되고 있으며, 거의 대부분의 오픈소스는 보안 취약점을 갖고 있다. 이 취약점이 해결되지 않으면 심각한 보안위협에 직면할 수 있으며, 랜섬웨어와 같이 직접적인 금전 피해와 비즈니스 중단 상황을 겪게 될 수도 있다”고 말했다.
“오픈소스 이용하는 IoT, 공격자 주 타깃”
IoT 기기 운영에 사용되는 OS와 애플리케이션은 대부분 오픈소스를 사용한다. IP카메라, 스마트폰, 자동차, 스마트TV·냉장고 등 스마트 가전기기 등이 오픈소스를 사용하고 있다. 상용 소프트웨어, 보안 솔루션도 오픈소스를 사용하고 있다.
특히 IoT 분야는 대부분 오픈소스를 이용해 개발되는데, IoT 기기는 관리자 권한을 쉽게 탈취할 수 있으며, 알려진 오픈소스 취약점을 이용해 대규모 봇넷 공격을 단행할 수 있어 매우 위험하다.
워너크라이는 알려진 윈도우 보안 취약점을 이용해 단시간에 전 세계 IT 인프라를 감염시킬 수 있다는 사실을 보여줬으며, 인터넷나야나는 서비스 기업을 공격해 공격자가 얼마나 많은 돈을 벌 수 있는지 보여줬다. 오픈소스 보안 취약점을 이용한다면 더 쉽게, 더 많은 범위에서 피해를 입히고, 공격자가 더 많은 수익을 얻을 수 있을 것이다.
김병선 상무는 “거의 모든 애플리케이션이 오픈소스 컴포넌트를 사용하고 있으며, 오픈소스 컴포넌트의 보안 취약점은 하루 10여개씩 새롭게 발생할 만큼 많기 때문에 기업/기관이 취약점을 발견하고 조치하지 못한다. 오픈소스 취약점이 발표된다 해도, 어느 서비스, 어느 애플리케이션의 어떤 모듈에서 사용하고 있는지 파악할 수 없어, 알려진 보안 취약점을 이용한 공격이 끊이지 않고 있다”고 말했다.
그는 “오픈소스를 수정해서 사용하면 해당 오픈소스 버전의 패치·버전 업데이트를 받을 수 없기 때문에 수정하지 않고 그대로 사용하게 된다. 그래서 오픈소스 보안 취약점은 관리의 사각지대에 있을 수 밖에 없다. 어떤 기업은 10년 전 발견된 보안취약점이 있는 오픈소스 컴포넌트를 사용하고 있는데, 10년 동안 어떤 공격을 받았는지조차 파악하지 못하고 있다”고 설명했다.
앱 67%, 4년간 보안 취약점 노출
블랙덕소프트웨어는 올해 초 오픈소스 보안 취약점을 파악하는 ‘블랙덕 허브’를 출시하고 보안 시장에 뛰어들었다. 블랙덕소프트웨어는 오픈소스 컴플라이언스 관리 전문기업으로, 소스코드에서 오픈소스 사용 여부를 찾아내고 라이선스 의무를 준수하도록 권고한다.
국내 대규모 제조기업, 통신사, 금융기관, 포털 등에 솔루션을 공급하고 있으며, 한국공개SW협회와 함께 중소기업을 위한 무료 오픈소스 라이선스 서비스 사업을 진행한다. 올해는 보안 취약점 점검 서비스도 제공할 계획이며 중소기업은 무료로 진행한다.
오픈소스 라이선스 관리 시장에서 독보적인 지위를 차지하고 있는 블랙덕소프트웨어가 보안 역량을 강화하고 나선 것은, 오픈소스 보안 취약점을 악용한 공격이 빠르게 늘어나고 있기 때문이다. 하트블리드, 쉘쇼크, 더티카우 등 유명 오픈소스 취약점을 이용한 공격은 물론이고, 알려진/알려지지 않은 취약점을 이용한 공격이 갈수록 지능화되고 있다.
OSSRA 보고서에서는 67%의 보안 취약점이 평균 1527일 동안 공개적으로 해커에게 노출된 것으로 분석됐다. 무려 4년간 취약점이 방치됐다는 뜻이다.
“신뢰 높은 취약점 탐지 솔루션 사용해야”
소프트웨어 소스코드 취약점을 분석하는 솔루션은 많지만, 오픈소스 취약점을 전문으로 찾아내는 솔루션은 없다. 기존 취약점 분석 솔루션은 개발하는 도중 코드 오류와 보안 위해 요소를 찾아 소스코드를 수정하도록 지도하는 방식이며, 오픈소스 취약점 탐지 솔루션은 개발중이거나 운영중인 애플리케이션에서 사용하는 오픈소스에 취약점이 발견됐는지 찾아보고 패치를 업데이트 하는 방식을 택한다. 오픈소스는 전 세계 개발자들이 협력해 취약점을 찾는 구조로, 패치 업데이트가 자주 발생하는데, 취약점 관리 전문 솔루션이 없으면 수동으로 찾아낼 수 없다.
블랙덕 허브는 기업/기관이 사용하는 모든 애플리케이션 중 오픈소스와 취약점을 찾아내고 패치하는 방법을 알려주는 솔루션이다. 과거에 사용한 모든 오픈소스를 찾아내며, 검출한 취약점의 위험 정도를 파악할 수 있도록 이와 관련된 전문가의 분석보고서, 기사 등을 찾아 알려준다. 클라우드 개발과 운영을 위해 사용되는 ‘도커’와 같은 컨테이너에서도 블랙덕 허브를 이용해 취약점을 관리할 수 있다.
김병선 상무는 “취약점 탐지 솔루션은 오탐·미탐이 많을 때 신뢰도가 떨어져 오히려 관리자들이 취약점 관리에 소홀하게 돼 더 위험한 상황에 몰리게 된다. 블랙덕소프트웨어는 20여년간 오픈소스 관리 기술만을 연구해 온 전문기업으로, 200만개의 취약점 DB와 위험도 평가를 제공한다. 개발조직과 보안조직의 갈등을 줄이면서 안전하게 소프트웨어를 개발·운영할 수 있도록 지원한다”고 밝혔다.
