[데이터넷] 지난해 오픈소스 보안 취약점이 거의 50% 증가한 것으로 나타났다. 소스코드 취약점 진단 전문기업 화이트소스에 따르면 지난해 공개된 오픈소스 소프트웨어 취약점이 6000개 이상으로, 2018년 4000여개에서 1.5배 늘어난 것으로 분석됐다.

이 조사 결과는 화이트소스가 650명 이상 개발자를 대상으로 실시한 설문조사와 NVD(National Vulnerability Database), 여러 보안 커뮤니티, 취약점 데이터베이스 등의 채널을 통해 수집한 데이터를 분석한 것이다.

발견된 취약점의 85%는 공개된 것으로 보안 패치가 배포됐다. 그러나 취약점 정보와 패치의 84%만이 NVD에 집계됐으며, 나머지는 수백개의 리소스에 분산돼 있다. 또한 NVD 취약점의 45%는 발견된 지 몇 개월 후 공개되고 있어 취약점이 있는 오픈소스 소프트웨어 버전이 탑재된 시스템은 몇 개월 동안 제로데이 공격에 무방비로 노출되는 상황이다.

또한 지난해 가장 많이 발생한 취약성 공격은 크로스 사이트 스크립트(XSS)로, 단순한 코드 오류, 부정확한 코딩 때문에 발생하고 있으며, 기본적인 코딩 표준을 준수하면 피할 수 있는 것이었다.

한편 이 보고서에서는 CVSS(Common Vulnerability Scoring System) 데이터가 트래핑 우선 순위 측정에 충분한 표준인지에 대해서도 지적한다. CVSS는 모든 조직과 산업을 지원할 수있는 객관적이고 측정 가능한 표준을 완성하기 위해 여러 차례 업데이트 되었다. 그러면서 심각도 높은 취약점 정의가 여러 차례 변경됐다. 즉 기존에 심각도가 낮은 취약점으로 분류된 것이 다시 높은 위험도의 취약점으로 분류될 수 있다. 낮은 수준의 위험도를 가진 취약점이라해서 방치하다 심각한 위협에 직면할 수 있다는 뜻이다. 일례로 CVSS v2에서 7.6으로 평가된 취약점이 CVSS v3.0에서 9.8로 상향조정됐다.

보고서는 “위험의 정도를 객관적으로 측정하기 위한 표준이 제정되고 있지만, 그 어떤 버전도 완벽하다고 볼 수 없다”며 “오픈소스 프로젝트를 수행할 때 언제나 보안 위험이 있다는 사실을 전제하고, 출시하는 모든 제품에 대해 취약점을 제거하고 가시성과 제어력을 가질 수 있도록 적극 노력해야 할 것”이라고 설명했다.

김선애 기자 다른기사 보기