침해사고/위협동향

[오픈테크넷서밋 2018] BDSK “해커들 오픈소스 노리는데…78% 보안취약점 보유”

최민지
[디지털데일리 최민지기자] 해커들이 오픈소스를 새로운 공격대상으로 삼고 있다. 하지만 오픈소스를 활용하는 기업들은 상당수 보안취약점을 그대로 방치하고 있는 것으로 나타났다.

13일 김혜영 BDSK 기술사업팀 차장<사진>은 과학기술정보통신부가 주최하고 정보통신산업진흥원(NIPA)과 디지털데일리가 공동주관하는 ‘오픈테크넷 서밋2018’에 참가해 상용 애플리케이션 코드의 절반 이상이 오픈소스를 사용하는데, 78%가 보안취약점을 보유하고 있다고 지적했다.

BDSK가 발간한 ‘2018 오픈소스 보안과 리스크 분석 보고서’에 따르면 상용 애플리케이션 96%에서 오픈소스 컴포넌트를 활용하고 있다. 상용 코드베이스 내 오픈소스 코드 비율은 57%다. 지난해 36%에서 급증한 수치다.

그러나 코드의 78%는 최소 한 개 이상의 보안취약점을 갖고 있었다. 평균 64개의 취약점이 존재하고 있는데, 이는 전년대비 134% 증가한 수치다. 또, 지난해에는 4800개 새로운 오픈소스 보안취약점이 발견됐다. 문제는 검증을 통해 식별된 보안취약점은 평균적으로 약 6년 전에 공개됐다는 것이다.

김 차장은 “6년 전 보안취약점인데 개선을 하지 않는다면 취약점 수명은 점점 늘 수밖에 없다”며 “범용 컴포넌트에서 주로 취약점이 나타나고 있고, 이 중 54% 이상은 고위험군으로 분석됐다”고 설명했다.

지난해 최악의 보안사고로 보고된 에퀴팩스도 오픈소스 보안취약점을 즉각 조치하지 않아 1억4700만명의 고객정보 유출 피해가 일어났다.

지난해 2월 아파치 스트러츠에 대한 보안취약점이 발견돼 3월 패치를 발표하고 위험성을 공지하기 시작했다. 해커는 5월경 해당 취약점을 통해 에퀴팩스를 향해 공격을 시도했고, 2달간 정보를 지속적으로 탈취했다. 에퀴팩스가 해킹사실을 알고 대응을 한 시점은 7월말이다.

또한 마이크 피튼쳐 전 블랙덕소프트웨어 부사장은 자동차 제조업체의 오픈소스 관리 부실은 대규모 자동차 리콜사태를 야기할 수 있다고 경고한 바 있다. 보안사고는 제조업에도 영향을 미친다. 실제, 혼다는 워너크라이 공격을 받아 자동차 1000대 생산이 지연되기도 했다. 테슬라 서버를 통해 암호화폐를 탈취한 사건도 있다.

김 차장은 “오픈소스가 전 세계를 집어삼키고 있는 가운데, 오픈소스 보안관리에 대한 인식도 커지고 있다”며 “그러나 사용자의 경우, 보안취약점에 대한 경고하는 공지를 봤을 때 이를 직접 적용하는 수는 30%에도 미치지 못한다”고 우려했다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널