하트블리드와 쉘쇼크로 불거진 오픈소스의 취약점

사용도가 갈수록 높아져 취약점 역시 점점 많이 발견되는 추세

[보안뉴스 문가용] 오픈소스 소프트웨어가 현대 애플리케이션에 얼마나 위험한 존재인지 하트블리드와 쉘쇼크 사태로도 체감하지 못한다면 이걸 한 번 생각해보라. 웹 애플리케이션에서 오픈소스와 서드파티 코드가 생성하는 보안 버그는 각각 평균 24개에 이른다는 것. 게다가 오픈소스와 서드파티 소프트웨어 요소들이 발생시키는 버그들은 그 심각성이 ‘매우 높음’이나 ‘높음’으로 분류된다고 베라코드(Veracode)는 보고하고 있다.

“오픈소스의 활용도가 시간이 지날수록 높아지고 있습니다. 기업들은 오픈소스를 사용하는 것에 점점 더 익숙해지고 있고요.” 베라코드의 CTO인 크리스 와이소팔(Chris Wysopal)의 설명이다. “그리고 이를 연구원 커뮤니티와 해커 커뮤니티가 동시에 알아챘습니다. 그래서 하트블리드와 쉘쇼크가 생긴 것이죠. 사람들이 들여다보기 시작했거든요. 지난 2년여간 수정이 계속 있어왔지만, 그럼에도 앞으로 계속해서 문제가 더 발생할 것으로 보입니다.”

커버리티(Coverity)의 수석 제품 관리자인 데니스 추(Dennis Chu)는 37개의 오픈소스 프로젝트에서 OWASP에서 정한 보안 문제 탑 10에 해당하는 문제점을 688개나 발견했다. “오픈소스 버그는 보통 조용하고 비밀스러운 공격을 할 때 활용되는 편입니다. 오픈소스 버그 자체가 굉장히 발견하기 어렵거든요.”

그렇다고 오픈소스 코드나 서드파티 코드가 다른 유료 소프트웨어보다 더 취약하다는 건 아니다. 다만 사용량이 대폭 늘어나다보니 상대적으로 취약점이 많이 발견되기 시작했다는 것이 보다 정확한 현상파악이라는 의견이 대세다. IP 아키텍트(IP Architects)의 회장인 존 피론티(John Pironti)는 이런 때야말로 오픈코드가 또 다른 공격면이 될 수 있다고 경고한다. “오픈소스를 사용하려고 한다면 가능한 취약점이 무엇인지 파악하고 그 취약점을 안고 갔을 때 어떤 영향이 있을지도 계산해야 합니다. 또한 지금은 알려지지 않은 취약점에는 어떤 것이 있을까를 최대한 알아내기 위해 나의 시스템과 데이터에 대한 파악도 미리 이루어져야 할 것입니다.”

민감한 정보나 비밀 정보는 오픈소스 라이브러리와 함께 활용하기에는 그다지 좋은 정보가 아니다. “누구나 코드를 볼 수 있다면, 그 중 하나가 당신을 노리고 있다면, 당연히 그렇지 않은 코딩 시스템으로 작성했을 때보다 해커 입장에서 훨씬 찾아내기가 쉽겠죠. 결국 공격의 면, 혹은 공격의 루트를 최대한 줄이고자 하는 게 보안의 목표가 되어야 합니다. 공격의 면이 많은 만큼 해커의 성공률이 늘어나니까 말입니다.”

베라코드는 원격 코드 실행 버그가 오픈소스 요소가 가지고 있는 가장 흔한 버그라고 정리한다. 특히 기업용 웹 애플리케이션에 이런 현상이 도드라진다고 한다. 왜 그런 것일까? “오픈소스 코드는 기업체 애플리케이션의 사각지대이기 때문입니다. 오픈소스 라이브러리를 지금보다 더 많은 사람들이 계속해서 사용한다면 보통 해커들이 ‘쉬운 목표’를 노리던 현상이 조금은 분산되는 효과가 있을 수 있습니다. 어떤 면에선 공격당할 확률이 줄어들 수 있다는 뜻도 됩니다.”

와이소팔은 “베라코드는 하트블리드 사태 때부터 이미 새로운 서비스 제공을 준비해오고 있었다”며 “하트블리드는 오픈소스 코드로부터 번진 취약점 해킹의 가장 좋은 예시”라고 정의했다. “고객들을 조사해보니 한 사람당 적어도 하나의 하트블리드 취약점을 가지고 있었습니다. 저는 OpenSSL의 사용도가 이렇게까지 높았나, 하는 놀라운 생각이 먼저 들 정도였습니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>