솔루션

“대문 열고 도둑 부르는 셈” 오픈소스 보안 필요한 이유

최민지
[디지털데일리 최민지기자] “우리 집 대문은 △△제품입니다. 열쇠를 직접적으로 줄 수는 없지만, 검색만 한다면 충분히 열쇠 위치를 알 수 있죠.”

어떤 누구도 이처럼 자신의 집 문을 열고 들어올 수 있는 방법을 알려주지는 않을 것이다. 그런데, 이런 일이 실제로 벌어지고 있다.

오픈소스에 대한 이야기다. 국내 기업 90% 이상이 오픈소스를 활용하고 있다. 대다수의 애플리케이션과 IoT·클라우드·모바일 환경에서 제공되는 서비스 및 소프트웨어 등 이제는 오픈소스를 빼놓고 개발할 수 없는 세상이다. 흔하게 이용하는 소셜네트워크서비스(SNS)부터 인공지능 스피커 등 다양한 제품과 서비스에 오픈소스가 채택되고 있다.

공개된 오픈소스를 통해 좀 더 편리하고 발전적인 제품·서비스를 자유롭게 내놓을 수 있게 됐다. 물론 저작권 문제가 있는 만큼, 어떤 오픈소스를 사용했는지 의무적으로 명시해야 한다.

이러한 오픈소스에도 취약점은 존재하며, 이 또한 공개돼 있다. 이에 대한 조치를 취하지 않은 채 제품·서비스를 고객에게 제공하고 있다면, 반드시 보안문제가 발생할 수밖에 없다.

지난해 미국 신용평가사 에퀴팩스는 오픈소스 취약점인 ‘아파치 스트러츠’를 방치해 대규모 개인정보 유출사고를 일으킨 바 있다.

이와 관련 방혁준 쿤텍 대표이사<사진>는 “스스로 개발한 코드는 10~20%를 차지하는데, 이에 대한 코드는 정적분석을 통해 취약점을 제거한다”며 “하지만 제품 개발 때 90%가량 오픈소스를 사용하면서도 보안 취약점 점검을 대개 하지 않는다”고 말했다.

이어 “공개된 취약점으로 공격자들은 악성코드를 만들기 때문에, 제조사들이 오픈소스 보안을 준비하지 않은 채 제품을 내놓으면 어떤 취약점이 있는지 알려주는 것과 같다”고 덧붙였다.

방 대표는 “스스로 만든 코드에 대한 점검은 진짜 취약점인지 아닌지 확실치 않은 보안 약점을 찾는 행위지만, 오픈소스 보안 취약점으로 등록된 사항은 악성코드일 가능성이 농후하며 검색만으로도 누구나 찾을 수 있다”고 부연했다.

최근 정보통신기술(ICT) 융합과 사물인터넷(IoT) 변화로 오픈소스 사용이 급격하게 늘어나고 있는데, 라이센스 등 저작권에 대한 이슈만 부각되고 있는 상황이다.

방 대표는 “관련 회사를 인수하거나 육성하면서 수천억원의 투자를 거친 글로벌 기업들이 내놓는 오픈소스를 개인이나 중소 규모 사업자가 개발하기에는 비용적 부담이 있다”며 “이 때문에 최근 오픈소스 사용이 증가하고 있는 가운데 국내 기업들의 오픈소스 저작권 관련 소송이 이어지면서 라이센스 이슈가 불거졌지만, 이는 지키기만 하면 되는 간단한 문제”라고 설명했다.

그는 “반면 오픈소스 취약점은 검색만으로도 악성코드를 찾아내 악의적 의도로 공격할 수 있기 때문에 해당 제품과 서비스 폐기 전까지 보안조치를 지속적으로 취해야만 한다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널