[오픈소스 관리①] 에퀴팩스 사고로 오픈소스 취약점 문제 ‘대두’

오픈소스 사용되지 않는 시스템 없어…라이선스·보안 취약점·품질 관리 솔루션 ‘주목’

에퀴팩스 해킹사고는 매우 심각한 위협으로 알려진 오픈소스 보안 취약점을 방치해 발생한 것이다. 이 사고 이후 오픈소스 보안 취약점 관리 문제가 뜨거운 감자로 떠오르고 있다. 오픈소스는 대부분의 소프트웨어에 사용되고 있지만, 체계적으로 관리되고 있지 않기 때문이다. 이에 오픈소스 라이선스와 보안 취약점, 품질을 관리하는 솔루션이 주목받고 있다.<편집자>

지난해 발생한 에퀴팩스 개인정보 유출 사고는 여러 면에서 중요한 시사점을 준다. 특히 보안의 관점에서 중요하게 바라봐야 할 것은 에퀴팩스가 ‘알려진 취약점’을 방치했다는 사실이다. 에퀴팩스 해킹에 이용된 ‘아파치 스트러츠’는 포춘 100대 기업에서 사용하고 있을 만큼 범용적인 오픈소스 개발 프레임워크로, 지난해 3월 취약점 점수 시스템 CVSS에서 최고 위험도 점수인 10점을 받은 매우 심각한 보안 약점이 있는 것으로 알려졌다.

아파치 스트러츠 취약점이 공개된 후 자바 웹 애플리케이션에서 광범위하게 공격이 발생할 수 있다는 사실이 알려져 기업/기관의 대응이 시급하다는 경고가 연일 나왔다. 그럼에도 불구하고 에퀴팩스는 이 취약점을 방치한 채 사고를 일으켰다.

오픈소스 취약점 공격 급증

이 문제는 에퀴팩스에만 해당하는 것이 아니다. 국내 기업/기관에서도 아파치 스트러츠를 사용하는 시스템이 부지기수다. 이 모든 기관들이 취약점 문제를 해결했는지 반드시 점검해야 한다. 오픈소스는 취약점을 스캔하고 제거하는 것이 매우 어렵기 때문에 국내 기업들도 취약점 공격을 당했을 가능성을 배제할 수 없다.

오픈소스 보안 취약점으로 인해 발생한 사고는 셀 수 없이 많다. 지난해 6월 영국정보위원회(ICO)는 미국 글로스터 시의회가 해킹을 당해 ICO 직원의 민감한 개인정보가 유출당했다며 10만파운드(약 1억5000만원)의 벌금을 부과했다. 공격자는 하트블리드 취약점을 이용해 글로스터 시의회 임직원 개인정보 등 3만건의 이메일을 유출했다. 이 때 ICO 직원 개인정보가 포함됐다는 것이 ICO의 주장이다.

하트블리드는 오픈SSL 프로토콜 라이브러리이며, 2014년 민감한 개인정보가 암호화되지 않은 상태로 탈취될 수 있는 취약점이 발견되면서 전 세계 기업들이 보안패치를 서둘렀다. 특히 이 취약점은 민감한 금융정보를 다루는 암호화 프로토콜에서 발견되는 것이었으므로 심각한 개인정보/금융정보 유출 사고가 발생할 가능성이 높다는 경고가 나오는 상황이었다.

전 세계 인터넷 자원을 검색할 수 있는 포털 쇼단에서 지난해 발표한 보고서에 따르면 하트블리드 취약점이 포함된 오픈SSL이 여전히 많이 사용되고 있으며, 그 중에서도 우리나라는 2번째로 취약점이 많은 국가로 꼽혔다. 오픈SSL은 상용 보안 취약점 관리 솔루션으로 찾을 수 없으며 오픈SSL이 사용된 시스템을 기업이 직접 수동으로 찾아내야 한다.

방혁준 쿤텍 대표이사는 “아파치 스트러츠 취약점이 공개된 날 전 세계에서 공격 패턴이 발견돼 조치가 시급한 상황이었다. 그러나 애퀴팩스 뿐만 아니라 많은 기업들이 이 취약점을 제대로 해결하지 못했다“며 “아파치 스트러츠 뿐 아니라 블루본, 하트블리드 등 수많은 오픈소스 취약점이 공개되고 있으며, 보안 심각성은 점점 더 높아지고 있다. 오픈소스 취약점은 즉시 공격할 수 있는 익스플로잇이 발견되면서 공개되기 때문에 빠르게 조치를 취하지 않으면 안 된다”고 지적했다.

SW 90%, 오픈소스 사용

오픈소스는 모든 IT 시스템 개발에 있어 필수적인 요소로 자리 잡았다. 다수의 기관에서 발표하는 분석 결과에 따르면 소프트웨어의 90% 가량이 오픈소스 모듈을 사용하고 있는데, 이는 기업/기관이 직접 개발하는 소프트웨어 뿐 아니라 상용 소프트웨어에서도 마찬가지다.

세계 최대 소프트웨어 기업인 마이크로소프트도 클라우드 플랫폼 애저의 50%가 오픈소스를 이용했다고 공개했다. 보안에 가장 민감한 금융기관 앱도 오픈소스를 사용하고 있으며, 현재 가장 뜨거운 이슈인 블록체인, 머신러닝도 오픈소스로 공개된 것을 이용해 개발하는 것이다. 오픈소스가 사용되지 않는 시스템은 없다고 봐도 무방한 상황이다.

오픈소스를 사용하는 이유는 개발 시간과 비용을 단축시키기 위해서다. 클라우드, 모바일, IoT 환경에서는 서비스 생명주기가 짧아지고 있으며, 서비스 제공에 대한 비용을 높일 수 없기 때문에 서비스 개발에 충분한 시간과 비용, 개발인력을 투입할 수 없다. 그래서 소프트웨어의 세부 기능을 잘게 쪼개 개발한 후 필요한 모듈을 가져다 조립하는 마이크로서비스 개념이 사용되고 있다. 이 때 개발자들은 모든 모듈을 직접 개발하는 것이 아니라 오픈소스 혹은 상용 소프트웨어에서 제공하는 필요한 모듈을 사용하며, 많은 경우 비용 절감과 사용 용이성을 위해 오픈소스를 사용하게 된다.

수작업으로 오픈소스 취약점 파악·조치 어려워

오픈소스는 집단지성의 힘으로 운영되기 때문에 보안 취약점을 발견하고 패치를 발표하는 주기가 빠른 편이다. 상용 소프트웨어를 이용하면 취약점을 발견해 해당 벤더에 알려주고, 벤더에서 다시 분석하고 보완하는 패치가 발표될 때 까지 짧게는 2주, 길게는 6개월이 소요되며 1년 이상 걸리는 경우도 있다. 오픈소스는 커뮤니티 상에서 보안취약점을 공개하고 패치를 배포하기 때문에 상용 소프트웨어에 비해 민첩하고 유연하다.

그러나 커뮤니티에서 발표하는 취약점 패치를 운영 중인 시스템에 적용하는 것은 상당히 어려운 일이다. 상용 소프트웨어가 보안 패치를 발표했을 때에도 기업들은 해당 패치를 적용했을 때 해당 시스템 혹은 관련된 시스템에 어떤 영향이 있는지 테스트 해 본 후 신중하게 단계적으로 패치를 적용한다. 패치 발표 후 이를 적용하는데 까지 상당한 시간이 걸리고 이 기간 동안 제로데이 공격이 집중적으로 발생한다.

오픈소스의 경우, 관리조직은 자사 시스템 중 어디에 어떤 오픈소스가 사용됐는지 파악하지 못하고 있다. 직접 개발한 시스템의 경우 오픈소스 사용 목록을 작성하고 있지만, 수많은 오픈소스를 수동으로 관리하는 것이 쉽지 않은 일이다. 아웃소싱 개발의 경우, 개발자들이 프로젝트를 완료한 후 오픈소스 사용 목록을 남겨두지만 정확하지 않은 경우가 비일비재하며 이를 잘 관리할 수 있는 체계를 만들고 운영하는 조직도 그리 많지 않다.

오픈소스 보안 취약점 관리 솔루션 부상

오픈소스 취약점은 커뮤니티에 공개돼 있으며, 취약점이 있는 모듈이 어떤 소프트웨어에 사용됐는지도 공개돼 있기 때문에 해커들은 해당 소프트웨어를 사용하는 기업을 찾아 공격하면 쉽게 공격 목표를 이룰 수 있다.

강태진 인사이너리 대표는 “에퀴팩스 사고 이후 금융권에서 오픈소스 보안 솔루션 수요가 크게 늘어나고 있는데, 이는 미국 금융기관 뿐 아니라 전 세계, 전 산업군에서 보이고 있는 추세다. 특히 외부 개발사로부터 소프트웨어를 납품받은 환경에서는 소스코드 없이 바이너리 형태로 남아있는 오픈소스까지 관리할 수 있는 제품을 필요로 한다”고 말했다.

김선애 기자 다른기사 보기