앱 49% “고위험 오픈소스 코드 사용”
상태바
앱 49% “고위험 오픈소스 코드 사용”
  • 김선애 기자
  • 승인 2020.07.19 21:34
  • 댓글 0
이 기사를 공유합니다

시높시스 ‘OSSRA’ “기업 앱 99% 오픈소스 사용…75% 취약점 코드 사용”
오픈소스 취약점 발견 시점부터 NVD 공개되기까지 27일 소요
오픈소스 라이선스 충돌 67%…인터넷·모바일 앱 산업군 가장 많아

[데이터넷] 기업이 사용하는 애플리케이션의 99%가 오픈소스 컴포넌트를 포함하고 있으며, 이 중 취약점이 있는 코드를 사용한 것이 75%에 이른다. 이 중에서도 고위험 취약점을 가진 코드 베이스가 49%에 이르는 것으로 나타났다.

이는 시높시스 공식 채널 케이엠에스테크놀로지(대표 이창표)가 공개한 ‘2020 오픈소스 보안과 리스크 분석(OSSRA)’ 보고서에 따른 것으로, 17개 산업 1250개 이상 상용 소프트웨어 코드의 대부분에 오픈소스가 포함돼 있으며, 그 중 절반은 고위험 취약점을, 3/4가 취약점을 갖고 있는 것으로 나타났다.

이 보고서는 오픈소스 소프트웨어 라이선스 관리와 취약점 정보를 제공하는 시높시스의 블랙덕소프트웨어 제품군, 그리고 사이버 리서치센터(CyRC)를 통해 분석한 것으로, 엔터프라이즈 소프트웨어와 SaaS, 헬스케어, 생명기술, 생명과학, 금융 서비스, 핀테크, 인터넷·소프트웨어 인프라 분야 소프트에어를 대상으로 조사했다.

조사 대상 소프트웨어 중 1%만이 오픈소스 코드를 갖고 있지 않았으며, 오픈소스를 포함한 대부분의 소프트웨어에 취약점이 있었다. 4년 이상 된 컴포넌트를 가진 코드가 82%, 2년 이상 개발되지 않은 코드베이스가 무려 88%에 이르렀다.

또한 오픈소스에 존재하는 취약점을 발견한 시점과 취약점 정보 공유 기관인 NVD(National Vulnerability Database)를 통해 공표하는 시간은 평균 27일의 시간이 소요돼 제로데이 공격의 절호의 기회를 제공하기도 한다.

관리되지 않은 오픈소스 라이선스도 큰 문제다. 가장 유명한 라이선스 20개가 실제 사용된 오픈소스의 98%를 차지한다. 그러나 실제로 소프트웨어에 적용된 오픈소스가 정식 소스인지 변형된 것인지, 변형됐을 때 저작자가 어떤 라이선스를 적용했는지 파악하기 어렵다. 조사에 따르면 지난해 감사한 애플리케이션 중 라이선스 충돌이 발생하는 코드가 67%에 이르렀으며, 인터넷·모바일 앱 산업군이 93%로 가장 많았다.

가장 많이 사용된 오픈 소스는 ‘jQuery’로, 조사대상 전체 17개 산업군의 코드베이스에서 124개 오픈 소스 컴포넌트가 공통으로 사용되됐다. 가장 많이 사용된(해당 컴포넌트를 포함한 코드베이스 비율 기준) 오픈 소스 컴포넌트 5개는 ▲jQuery 55%, HTML 단순화를 위해 설계된 자바스크립트 라이브러리) ▲부트스트랩(Bootstrap) 40%, 반응성, 모바일 중심 프론트엔드 웹 개발을 위한 CSS 프레임워크 ▲폰트 어섬(Font Awesome) 31% 폰트 및 아이콘 도구 킷 ▲로대시(Lodash) 30%, 공통 프로그래밍 태스크를 위한 유틸리티 기능들을 제공하는 자바스크립트 라이브러리 ▲jQuery UI 29%, GUI 위젯, 동적인 시각 효과 및 테마 집합 등이다.

한편 보고서에서는 오픈소스로 인한 위협을 완화하기 위해 ▲현재 상태 오픈소스 자산화 ▲시큐리티 팀: 외부 위협과 취약성 발견에 따른 변화를 모니터링 ▲개발팀 및 법무팀: 오픈 소스 활동 관리 정책 수립 ▲인수합병팀(인수 및 피인수기업): 오픈 소스 실사 수행 ▲모두: 오픈 소스 커뮤니티에 참여 등을 권고했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.