Home > 전체기사

log4j 교훈 잊었나? 2년 이상 방치된 오픈소스 88%가 사용 중

  |  입력 : 2022-06-30 13:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
88%의 조직에서 여전히 최신 오픈소스 업데이트에 미진한 것으로 나타나
오픈소스 라이선스 충돌 및 취약점 감소하는 추세
시높시스, ‘2022 오픈소스 보안과 리스크 분석’ 보고서 발간


[보안뉴스 원병철 기자] 사상 최악의 보안 취약점으로 손꼽히는 Log4j 취약점 발견으로 오픈소스 관리의 중요성이 강조됐지만, 아직도 오픈소스 사용 기업의 88%가 2년 이상 방치된 오픈소스를 사용하는 것으로 알려져 충격을 주고 있다. 시높시스(Synopsys, Inc.)는 이와 같은 내용이 담긴 전 세계 오픈소스 사용 현황을 분석한 ‘2022 오픈소스 보안과 리스크 분석(OSSRA)’ 연례 보고서를 발표했다. 올해로 7번째 발간된 이번 보고서에는 OSS 라이선스 관리 솔루션인 ‘블랙덕 오딧 서비스(Black Duck Audit Services)’를 통해 실시한 전 세계 17개 산업분야의 2,400여개의 커머셜 코드 베이스에 대한 분석이 담겨 있다.

[이미지=utoimage]


2022 OSSRA 보고서에 따르면 오픈소스가 모든 산업에서 널리 사용되고 있으며 현재 운영되고 있는 대부분의 애플리케이션에 기반을 제공하는 것으로 나타났다. 하지만 최악의 취약점으로 꼽히는 Log4j 등 오래된 오픈소스들이 여전히 표준으로 사용되고 있는 것으로 확인됐다. 운영 리스크/유지보수 측면에서 2,097개의 코드베이스 중 85%가 4년 이상 지난 오픈소스를 포함하고 있는 것으로 나타났다. 88%는 사용 가능한 최신 버전이 아닌 구성 요소를 사용하고 있으며, 이중 5%에 취약한 버전의 Log4j가 포함되어 있다.

▲오픈소스 보안 및 위험 분석 보고서[자료=시높시스]


다행이 오픈소스 취약점은 전반적으로 감소한 것으로 조사됐다. 고위험 오픈소스 취약점을 포함하는 코드베이스의 수는 대폭 감소했다. 올해 감사를 실시한 코드베이스 중 49%가 지난해 60%에 비해 최소 1개 이상의 고위험 취약점을 포함하고 있었고, 평가 대상 코드베이스의 81%가 적어도 하나의 알려진 오픈소스 취약성을 포함하고 있는 것으로 조사됐다. 이는 2021년 OSSRA의 조사 결과 대비 3% 감소한 수치다.

라이선스 충돌도 감소하는 추세다. 코드베이스의 절반 이상(53%)이 라이선스 충돌을 포함했으나, 이는 2020년의 65%에 비해 상당히 감소한 수치다. 일반적으로 2020년과 2021년 사이에 특정 라이선스 충돌이 전반적으로 감소했다.

▲산업별 오픈소스를 포함한 코드베이스 비율[자료=시높시스]


산업별 취약점을 보면, 총 17개 산업 중 4개(컴퓨터 하드웨어 및 반도체, 사이버 보안, 에너지 및 청정 기술, 사물인터넷) 분야는 코드베이스 100%가 오픈소스를 포함하고 있는 것으로 나타났다. 나머지 분야 또한 코드베이스 중 93%~99%가 오픈소스를 포함하고 있었다. 가장 비율이 낮았던 분야(헬스케어, 건강 기술, 생명 과학)에서조차도 93%에 달했다. 즉, 오늘날 오픈 소스가 어느 분야에서나 모두 포함되어 있다는 건 분명한 사실이며, 미국 정부도 이 사실을 간과하지 않았다.

2022년 1월 백악관은 브리핑을 통해 소프트웨어를 “현재 우리 경제의 모든 분야에 걸쳐 어디에나 존재하며, 미국인이 매일 사용하는 제품과 서비스의 근간”이라고 지칭하며, “대부분의 주요 소프트웨어 패키지에는 오픈 소스가 포함된 소프트웨어가 포함되어 있다. 이는 고유한 가치를 제공하지만 고유한 문제를 안고 있기도 하다”라고 말했다. 특히 백악관은 연방 정부와 협업하는 업체의 소프트웨어 보안 확보하기 위한 방안을 명시한 ‘행정 명령 14028호’를 발표했다. 바이든 대통령의 목표는 미국의 사이버 보안 프로파일을 강화하는 것이었지만, 이 행정 명령은 전 세계 기업의 보안 관행에 대한 검토의 계기가 되었다.

▲오픈소스 라이선스 충돌 TOP10(코드베이스 비율)[자료=시높시스]


라이선스의 충돌도 주목해야 한다. 라이선스 충돌이 발생한 코드베이스 비율이 2020년(65%)보다 줄어들었다고 하지만, 53%는 결코 낮은 비율이 아니며, 산업별로 봤을 때 가장 높은 라이선스 충돌이 발생한 ‘컴퓨터 하드웨어 및 반도체(93%)’와 사물인터넷(IoT, 83%), 인터넷 및 소프트웨어 인프라(67%)와 사이버 보안(65%)은 모두 한국 기업이 두각을 나타내는 분야들이기 때문에 더 관심 있게 살펴봐야 한다.

오픈소스의 유지 보수도 심각한 상황이다. 23%의 오픈소스 프로젝트에서 대부분의 코드를 작성한 개발자가 단 한 명에 불과한 것으로 나타났으며, 94%의 오프소스 프로젝트에서는 코드 라인의 90% 이상을 작성한 개발자가 10명 미만인 것으로 조사됐다. 이에 대해 리눅스 재단은 “이는 수천 또는 수백만 명의 개발자가 무료 오픈소스 소프트웨어 개발 및 유지관리를 책임지고 있다는 일반적 통념과 완전히 상반되는 결과”라고 지적했다.

시높시스 사이버보안연구센터의 팀 맥키(Tim Mackey) 수석 보안전략 임원은 “SCA 소프트웨어 사용자들은 오픈소스 라이선스 문제를 줄이고 고위험 취약점을 해결하는 데 관심을 기울여왔으며 이러한 노력은 올해 라이선스 충돌과 고위험 취약점 감소에 반영됐다”며, “감사를 진행한 코드베이스의 절반 이상이 여전히 라이선스 충돌이 있었고, 절반에 가까운 코드에 고위험 취약성이 포함되어 있었다. 더 큰 문제는 위험 평가를 실시한 코드베이스의 88%가 적용 불가능한 업데이트나 패치가 있는 오래된 버전의 오픈소스 컴포넌트를 포함하고 있다는 것”이라고 지적했다.

그는 이어 “소프트웨어를 완전히 최신 상태로 유지하지 않는 데는 각각의 이유가 있지만, 조직 내 사용되는 오픈소스 코드의 최신 인벤토리를 정확하게 관리하지 않는 경우 오래된 구성요소가 고위험 공격에 노출될 수 있다”면서, “관리를 하지 않아 잊혀지고 나면 사용 위치를 파악하여 업데이트하는데 어려움을 겪게 된다. 최근 Log4j로 촉발된 이슈가 바로 이러한 문제점을 반영하며, 소프트웨어 공급망과 소프트웨어 BOM(원재료 명세서, Bill of Materials)이 중요한 이유가 여기에 있다”고 덧붙였다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)