Home > 전체기사
오픈소스 프로젝트의 취약점 현황 한 눈에 알게 해주는 도구 나온다
  |  입력 : 2020-07-28 16:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현재 소프트웨어의 취약점 대부분 서드파티에서 나와...오픈소스 의존도 높은 개발 과정
개발자들이 오픈소스 고를 때의 기준 중 취약점은 높은 순위 차지 못해


[보안뉴스 문가용 기자] 개발자들이 오픈소스를 선택할 때 고려하는 건 기능성만이 아니다. 해당 프로젝트의 개발자들이 활발히 활동 중에 있는지, 또한 프로젝트에 대한 평판이 어떤지 등도 중요한 요소다. 하지만 오픈소스들에 있는 취약점들은 그리 중요하게 생각되지 않는 게 현실이다.

[이미지 = utoimage]


그래서 7월 27일 두 개의 회사가 손을 잡았다. 오픈소스 프로젝트 관리 전문 회사인 스나이크(Snyk)와 개발 서비스 회사인 xs:code다. 두 회사는 오픈소스 프로젝트에 있는 취약점 정보를 보다 직관적으로 나타내주는 브라우저 플러그인을 개발했다. 이 플러그인의 이름은 인사이츠(Insights)이며, 개발자들이 보다 신중하게 플러그인을 고르는 데 도움이 되도록 만들어졌다.

xs:code의 창립자인 첸 라비드(Chen Ravid)는 “오픈소스의 보안 문제가 최근 IT 개발자들 사이에서 적잖은 골칫거리가 되고 있다”며 “가장 큰 문제는 오픈소스를 선택하는 개발자가 취약점에 대해서는 고려하지 않는다는 것”이라고 짚었다. “보안 문제가 눈에 보이지 않는 겁니다. 그러니 고려하지 않고, 그래서 취약한 소프트웨어들이 만들어지죠.”

현대 소프트웨어들은 오픈소스 요소에 대한 의존도가 대단히 높다. 프로그램 하나 당 평균 445개의 오픈소스 요소들을 가지고 있다는 통계가 있을 정도다. 그런데 90% 이상의 소프트웨어에서 낡고 오래된, 즉 업데이트가 4년 이상 되지 않은 오픈소스 요소들이 발견되고 있어서 문제다. 실제 많은 소프트웨어 취약점들이 오픈소스를 포함해 서드파티 디펜던시 요소들에서 나온다.

스나이크는 “한 해 동안 발견되는 취약점의 수가 2018년에 잠깐 수그러들더니 2019년부터 다시 증가하기 시작했다”며 “게다가 심각한 위험도를 가진 취약점의 수가 늘어나고 있다는 게 진짜 문제”라고 지적한다.

그 이유로 스나이크는 “오픈소스를 고르는 기준에 ‘취약점 유무’가 없다는 것”을 꼽는다. 이는 2019년 타이드리프트(Tidelift)와 더뉴스택(The New Stack)의 보고서를 통해서도 지적된 바 있는 내용이다. 당시 보고서를 통해 86%의 개발자들이 “개발자의 현재 활동 현황과 라이선스 내용을 가장 많이 참조하여 오픈소스를 선택한다”고 답했다.

xs:code는 “브라우저 플러그인을 통해 오픈소스의 평가 결과를 눈으로 볼 수 있게 만들어준다면 어떨까”하는 생각에서 이번 프로젝트르르 스나이크와 시작하게 되었다고 한다. “인사이츠는 리포지터리 분석 서비스라고 볼 수 있습니다. 개발자들이 리포지터리의 취약점들을 볼 수 있고, 그 취약점들의 심각성을 점수로 환산해 파악할 수 있습니다.”

현재로서는 개발자의 진행 상황을 점수로 나타내는 기능이 없지만, 추후에 추가하는 것을 고려하고 있다고 라비드는 설명한다. 현재 인사이츠는 여기(https://www.producthunt.com/upcoming/xs-code-insights)서 공개될 예정이다. 7월 중에 나올 것이라고 예고가 되어 있고, 구독신청을 하면 ‘얼리 액세스’ 권한이 주어진다.

3줄 요약
1. 두 회사가 손을 잡고 오픈소스 프로젝트 취약점 점검 플러그인 개발.
2. 브라우저 플러그인 형태로 배포되며, 개발자들이 오픈소스의 취약점 현황을 볼 수 있게 해줌.
3. 이 도구의 이름은 인사이츠이며, 7월 중 공개될 것으로 예고되어 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상