애플리케이션 개발의 기본, 오픈소스서 발견된 취약점 심각한 수준

[보안뉴스 문가용] 상업용 소프트웨어를 개발하는 기업들은 개발자들이 사용하는 수많은 오픈소스에 대한 지식이 해박할 수가 없다. 어떤 오픈소스에 어떤 취약점이 있는지 일일이 관리하기란 불가능하다. 그래서 출시되는 앱들에는 보안 취약점이 가득하고, 그 위험부담은 고스란히 사용자들에게 전가된다. 블랙덕소프트웨어(Black Duck Software)가 조사한 바에 의하면 말이다.

블랙덕소프트웨어는 지난 6개월 동안 200개의 애플리케이션을 분석했고, 그 결과 애플리케이션을 구성하는 여러 가지 오픈소스 중에서 사용자가 인지하고 있는 것은 불과 45%에 불과하다는 사실이 드러났다. 이는 아무리 보안에 민감한 사용자라도 눈 뜨고 코 베일 수 있는 상황에 처할 수 있다는 뜻이 된다. 그리고 상업용 애플리케이션에 사용되는 모든 오픈소스 중 67%가 보안 취약점을 포함하고 있었다.

200개의 애플리케이션을 제작하는 데에 사용된 오픈소스는 총 105개이며, 한 애플리케이션 당 발견된 오픈소스 취약점은 22개가 약간 넘는 수준이었다. “조사한 업체들 대부분 내부 보안 프로그램 및 툴들을 활발히 가동 중이었습니다. 그럼에도 이처럼 많은 오류들이 나왔다는 건, 그런 보안 조치들이 제대로 작동하고 있지 않거나 제대로 된 기능을 가지고 있지 않다는 뜻이죠.” 블랙덕소프트웨어 측의 설명이다.

소프트웨어 개발에 있어 오픈소스는 없어서는 안 될 요소다. 오픈소스는 보통 개발자들 사이에서 널리 사용되고 있는 것이나 유명한 것이라 ‘검증되었다’고 착각하는 경우가 많고, 오래되어서 잊힌 취약점들을 내포하고 있다. 오픈소스로 ‘조립’을 하는 개발 환경이 굳어져 가면 갈수록 이런 오픈소스의 약점은 더욱 심각하게 드러날 전망이다. 그렇기 때문에 개발팀은 점점 더 삼엄한 ‘보안의 눈총’을 받으며 상품을 개발해야 하는 새로운 국면을 맞닥트리고 있다.

이번 보고서에 의하면 이번에 발견된 취약점들은 평균 5년 이상 된 것들이라고 한다. “5년이나 방치되었다는 건 아무도 몰랐다는 뜻입니다. 그런 오픈소스가 사용되고 있다는 것조차 몰랐을 수도 있고, 알았지만 취약점에 대해 딱히 알아보지 않았을 수도 있습니다.”

게다가 심각성이 낮은 취약점도 아니다. 발견된 취약점의 40%는 ‘높은 수준’의 심각성을 띄고 있었다. 이미 ‘매우 위험’ 혹은 ‘치명적’으로 분류돼 대중에게 공개된 ‘유명’ 취약점들도 상당 수 있었다고 블랙덕은 보고하고 있다. “애플리케이션의 약 10%는 하트블리드, 10%는 푸들 취약점을 가지고 있었습니다. 이미 한 차례 세상을 휩쓸고 간 취약점들인데 말이죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)