오픈소스 소프트웨어를 사용하는 기업들이 늘어나고 있지만, 기본적인 보안 조치를 하지 않아 생기는 해킹 피해 사례가 늘고 있는 것으로 나타났다.
4일 SK인포섹(대표 안희철)은 광화문 센터포인트 빌딩에서 이큐스트(EQST) 그룹 미디어 데이를 개최하고, 오픈소스 보안의 중요성에 대해 강조하는 시간을 가졌다.
SK인포섹 이큐스트 그룹은 자사 통합보안관제센터에서 수집한 데이터를 근거로 올해 상반기 동안 월 평균 26만 건의 공격 시도가 있었다고 밝혔다. 특히 오픈소스인 아파치 스트러츠(Apache Struts)의 취약점을 노린 공격이 많았다는 설명이다.
이재우 SK인포섹 이큐스트 그룹장은 “2018년 상반기 총 7341개의 취약점이 노출됐으며, 그 중 43%에 해당하는 3157개가 오픈소스 관련 취약점으로 확인됐다. 전체 취약점 중 오픈소스 취약점 비중이 점차 늘어나고 있다”며 “취약점 유형 중에서도 리모트 코드, 버퍼 오버플로우 등 위험도가 높은 취약점이 다수 발표돼 오픈소스에 대한 보안 강화가 필요한 상황”이라고 우려했다.
이날 SK인포섹은 오픈소스 소프트웨어에 대한 해킹 시연도 진행했다. 해킹 시연은 개발자 도구로 많이 쓰이는 젠킨스(Jenkins), 레디스(Redis)의 보안 취약점을 이용해 사용자 PC 및 서버를 장악하고, 암호화폐 채굴형 악성코드 ‘마이너(Miner)’를 심는 과정까지 차례로 이어졌다.
시연을 진행한 이광형 SK인포섹 이큐스트 책임은 “이번 해킹 시연은 이큐스트 그룹이 발간한 오픈소스 소프트웨어 보안 가이드북에도 나와 있는 보안 취약점을 이용한 것”이라며 “보안 정책 설정, 보안 패치 등 이미 알려진 것만 잘 대비해도 피해를 줄일 수 있다”고 강조했다.
SK인포섹 이큐스트 그룹은 지난주 22종의 오픈소스 소프트웨어에 대한 보안 가이드북을 무료로 배포한데 이어 하반기에는 10종을 추가 제작해 배포할 예정이다.
이재우 SK인포섹 이큐스트 그룹장은 “개발 단계부터 오픈소스에 대한 보안을 신경 쓰지 않으면 해커에게 공격할 수 있는 문을 열어주는 것과 같다”며 “SK인포섹의 이큐스트 그룹은 기업들이 오픈소스 소프트웨어를 안전하게 사용할 수 있도록 보안 해법을 제시하는데 최선의 노력을 다하겠다”고 밝혔다.
