시높시스코리아, "오픈 소스 보안 및 위험 분석" 보고서 발표
[디지털데일리 이상일기자] 시높시스(Synopsys)는 18일 연례 "오픈 소스 보안 및 위험 분석"(OSSRA: Open Source Security & Risk Analysis) 보고서” 제9판을 발표했다. 이 조사에서는 위험 평가를 받은 상용 코드베이스의 3/4이 고위험 취약점의 영향을 받는 오픈 소스 구성 요소를 포함하고 있으며, 이는 전년도에 비해 급격한 증가세를 보인 것으로 나타났다.
2024년 OSSRA 보고서는 Synopsys Cybersecurity Research Center(CyRC)에서 진행한 17개 산업 분야의 1000개 이상의 상용 코드베이스 감사 결과를 익명화 하여서 분석 했다. OSSRA보고서는 보안, 개발 및 법률 팀에게 오픈 소스 소프트웨어의 채택 및 사용 추세, 보안 취약성 확산, 소프트웨어 라이선스 및 코드 품질 위험 등 오픈 소스 환경에 대한 포괄적인 정보를 제공한다.
하나 이상의 오픈 소스 취약점을 포함하는 코드베이스는 84%로 전년과 비슷한 수준을 유지했지만, 2023년에는 훨씬 더 많은 코드베이스에 고위험 취약점이 포함되어 있었다. 이는 경제 불안정과 그에 따른 기술 인력 해고와 같은 변수로 인해 취약점을 패치하는 데 투입할 수 있는 리소스의 수가 감소했기 때문일 수 있다는 설명이다.
분석된 데이터에 따르면, 적극적으로 악용되었거나, 문서화된 개념 증명 취약점이 있거나, 원격 코드 실행 취약점으로 분류된 취약점으로 분류된 고위험 오픈 소스 취약점이 있는 코드베이스의 비율이 2022년 48%에서 2023년 74%로 증가했다.
시높시스 소프트웨어 통합 그룹 제인스 슈미트(Jason Schmitt)는 "올해 OSSRA 보고서에 따르면 다양한 중요 산업에서 고위험 오픈 소스 취약성이 놀라울 정도로 증가해 사이버 범죄자들이 이를 악용할 위험에 처해 있다."라며 "2023년에 소프트웨어 팀이 보다 빠르게 움직이고, 더 적은 자원으로 더 많은 작업을 수행해야 한다는 압박이 커지면서 오픈 소스 취약성이 급격히 증가한 것으로 보인다. 악의적인 공격자들은 이 공격 벡터에 주목하고 있으므로 오픈 소스를 효과적으로 식별, 추적, 관리하여 적절한 소프트웨어 하이진 (software hygiene)을 유지하는 것이 소프트웨어 공급망의 보안을 강화하는 핵심 요소." 라고 덧붙였다.
이번 조사에 따르면 대부분 조직은 오래되었거나 사용되지 않는 오픈 소스 구성 요소에 의존하고 있는 것으로 나타났다. 코드베이스의 91%에는 10개 이상의 버전이 오래된 구성 요소가 포함되어 있었고, 코드베이스의 거의 절반(49%)에는 지난 2년 동안 개발 활동이 없었던 구성 요소가 포함되어 있었다.
컴퓨터 하드웨어 및 반도체 산업은 고위험 오픈 소스 취약점이 있는 코드베이스의 비율이 가장 높았으며(88%), 제조, 산업 및 로봇 공학 산업이 87%로 그 뒤를 이었다. 중간 정도에 가까운 빅 데이터, AI, BI 및 머신 러닝 업계는 66%의 코드베이스가 고위험 취약점의 영향을 받았다. 최하위인 항공우주, 항공, 자동차, 운송 및 물류 산업은 여전히 코드베이스의 1/3(33%)에서 고위험 취약점이 발견되었다.
보고서에 따르면 코드베이스의 절반 이상(53%)이 오픈 소스 라이선스 충돌을 포함하고 있으며, 코드베이스의 31%는 식별 가능한 라이선스 또는 맞춤형 라이선스가 없는 코드를 사용하고 있는 것으로 나타났다. 라이선스 충돌이 있는 코드베이스의 비율은 컴퓨터 하드웨어 및 반도체 산업이 92%로 가장 높았고, 제조, 산업 및 로봇 공학이 81%로 그 뒤를 이었다.
한편 2024년 OSSRA 보고서 결과에 대해 자세히 알아보려면 보고서 사본을 다운로드 하거나, 4월 17일 예정된 시높시스코리아 웨비나에 등록하면 된다.
MBK, '국가핵심기술 기업' 해외매각 우려 여전히 쟁점… 고려아연 M&A, 정부 역할 필요↑
2024-12-22 19:52:35스트레스 완충자본 규제 유예… 한시름 놓은 은행권, 기업금융 고삐죌까
2024-12-22 14:06:20심각한 노인빈곤율…"면세자에 대한 환급형 세액공제 도입해야"
2024-12-22 12:38:24올해 정보보호 투자액 2조원 돌파…공시 의무화 효과 '톡톡'
2024-12-22 12:00:00