2018.04.04

여전히 존재하는 오픈소스 SW 보안 문제, 이유는? 해법은 없나?

Maria Korolov | CSO
오픈소스를 사용하면 개발자가 시간과 비용을 절약할 수 있다. 다시 말해 개발자에게 오픈소스 활용은 일상이 됐다. 하지만, 그만큼 보안에 대한 위험 부담도 있다. 오픈소스를 사용하면서 보안을 향상하는 데 필요한 사항을 소개한다.



올해 에퀴팩스(Equifax) 해킹은 오픈소스 소프트웨어와 구성요소가 여러 이점이 있지만 적절하게 유지하고 관리하지 않으면 기업 보안에 엄청난 위험을 유발한다는 점을 상기시켰다.

4월, 플래시포인트 인텔리전스(Flashpoint Intelligence)의 연구원들은 범죄자들이 인기 오픈소스 마젠토(Magento) 전자상거래 플랫폼에 대해 강압적인 암호 공격을 사용하여 해킹된 접근으로 신용카드 기록을 확보하고 암호화폐 채굴에 초점을 둔 악성코드를 설치했다고 밝혔다.

연구원들은 최소 1,000개의 마젠토 관리자 패널이 해킹당했다는 사실을 발견하고 2016년 이후로 딥웹(Deep Web)과 다크웹(Dark Web)에서 해당 플랫폼에 대한 관심이 수그러들지 않고 있다고 말했다. 게다가 파워프론트(Powerfront) CMS와 오픈카트(OpenCart)에 대한 관심도 잘 알려져 있다.

->다크웹, 딥웹, 다크 인터넷이란?

수년 동안 오픈소스 코드의 인기가 상승했으며 모든 산업에서 모든 규모의 기업들이 사용하고 있다.

시장에서 널리 알려진 오픈소스 운영체제 외에도 기업 사용자들은 오픈소스 생산성 소프트웨어, 관리자와 개발자를 위한 툴과 자체 소프트웨어 개발에 사용하는 다양한 코드 라이브러리를 활용한다. 심지어 상용 소프트웨어도 일반적으로 오픈소스 코드를 기반으로 개발된다.

큐델스키 시큐리티(Kudelski Security)의 CTO 앤드류 하워드는 "기업에서 오픈소스 소프트웨어가 더욱 광범위하게 도입되고 있다"고 밝혔다. 이어서 "기업이 애자일 방법론으로 가면서 오픈소스가 더욱 중요해지고 있으며 더 많은 툴이 제공되고 있다. 오늘날 시장에 진입하는 새 소프트웨어 개발자를 보면 오픈소스 기술에 익숙하게 교육을 받았다"고 덧붙였다.

오픈소스의 보안 이점
개발자는 오픈소스 소프트웨어에 크게 의존하며 기업들은 특히 대형 그룹이 유지관리하는 주요 오픈소스 프로젝트에 익숙하다. 또한 보안에 대한 ‘다수의 관찰자’ 접근방식이 존재한다. 하워드는 "오픈소스 소프트웨어를 사용할 때의 주요 이점이 있다. 무엇보다 비용이 절감된다"고 강조했다. 이어서 "이론적으로 더 많은 사람이 관심을 두고 있다. 하지만 그는 소규모 프로젝트나 코드 라이브러리에는 적용되지 않는다. 일부 소프트웨어는 커뮤니티가 전혀 없다"고 덧붙였다.

오픈소스 코드의 또 다른 보안 이점은 문제가 있는 경우 기업이 이를 공개하여 즉시 해결할 수 있다는 점이다. 시놉시스(Synopsys, Inc.)의 오픈소스 솔루션 관리자 멜 라구노에 따르면, 코드가 비전매 특허 계약에 따라 라이선스가 있는 경우 일반적으로 업체가 대응할 때까지 기다려야 한다.

오픈소스 소프트웨어가 보안 위협을 유발하는 이유
시놉시스는 오픈소스 코드의 결함을 스캔하는 무료 서비스인 커버리티(Coverity)를 관리한다. 라구노는 "전체적으로 오픈소스 소프트웨어의 품질이 개선되었다"고 강조했다. "우리의 스캔 프로젝트에 약 7억 5천만 줄의 오픈소스 코드가 참여하고 있으며 110만 개의 결함을 식별했고 65만 개의 결함이 이미 해결되었다." 그는 소규모를 포함한 많은 프로젝트에서 코드의 잠재적인 보안 취약성을 스캔하지 않는다고 말했다.

예를 들어, 블랙덕 소프트웨어(Black Duck Software, Inc.)는 55만 프로젝트에서 100억 줄 이상의 오픈소스 코드를 추적한다. 이것이 다가 아니다. 리눅스 재단은 310억 줄의 코드가 오픈소스 저장소에 제출되었다고 보고했다.

이 모든 오픈소스 코드를 누가 사용하고 있을까? 모두가 사용하고 있다. 최근의 블랙덕 보고서에 따르면 오픈소스 구성요소는 현재 상업용 애플리케이션 중 96%에 사용되고 있다. 일반적인 애플리케이션은 147개의 오픈소스 구성요소가 있었으며 애플리케이션 중 67%는 취약성이 알려진 구성요소를 사용했다.

미 정부는 CVE(Common Vulnerability Enumeration) 목록NVD(National Vulnerability Database)를 후원한다. 2017년, 8,000개 이상의 새 취약성이 CVE 목록에 추가되됐. 높은 수치다.

그렇다면 기업들이 오픈소스 소프트웨어를 사용하는 이유는 무엇일까? 시놉시스의 블랙덕 보안 전략가 마이크 피팅거는 "일반적인 애플리케이션에서 코드 기반의 1/3 이상이 오픈소스다"고 강조했다. "이 코드 기반의 1/3을 대체하려면 개발팀이나 개발 시간을 50% 보강해야 하며, 현재로서는 불가능한 옵션이라고 생각한다"고 덧붙였다.

런던에서 여행 검색 엔진을 만드는 스카이스캐너(Skyscanner Ltd.)를 예로 들어보자. 해당 기업은 닷넷 같은 폐쇄적인 비전매 특허 플랫폼을 사용해 운용했었다. 스카이스캐너의 보안 엔지니어 알렉스 해리스에 따르면, 지난 수년 동안 오픈소스를 포함하여 더욱 광범위한 언어와 기술로 마이그레이션했다. 그는 "우리 엔지니어들이 이제는 다양한 소스로부터 의존성을 가져와 수 분 안에 코드를 배치할 수 있다"고 말했다.

또한 해리스는 이로 인해 보안 문제도 발생했다고 지적했다. "오픈소스는 커뮤니티가 라이브러리의 보안 버그를 검토한다는 점을 맹신하고 있는 것 같다"며 "현실적으로 항상 그런 것은 아닌 것 같다"고 그는 전했다.

해리스에 따르면, 여러 보편적인 라이브러리에는 취약성이 문서로 잘 정리돼 있다. 엔지니어들은 이런 라이브러리에서 코드를 가져와 배치하기 때문에 시인성 문제가 발생했다. 그는 "우리 제품에 있는 의존성이 몇 개인지 몰랐을 뿐"이라고 밝혔다.

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.

2018.04.04

여전히 존재하는 오픈소스 SW 보안 문제, 이유는? 해법은 없나?

Maria Korolov | CSO
오픈소스를 사용하면 개발자가 시간과 비용을 절약할 수 있다. 다시 말해 개발자에게 오픈소스 활용은 일상이 됐다. 하지만, 그만큼 보안에 대한 위험 부담도 있다. 오픈소스를 사용하면서 보안을 향상하는 데 필요한 사항을 소개한다.



올해 에퀴팩스(Equifax) 해킹은 오픈소스 소프트웨어와 구성요소가 여러 이점이 있지만 적절하게 유지하고 관리하지 않으면 기업 보안에 엄청난 위험을 유발한다는 점을 상기시켰다.

4월, 플래시포인트 인텔리전스(Flashpoint Intelligence)의 연구원들은 범죄자들이 인기 오픈소스 마젠토(Magento) 전자상거래 플랫폼에 대해 강압적인 암호 공격을 사용하여 해킹된 접근으로 신용카드 기록을 확보하고 암호화폐 채굴에 초점을 둔 악성코드를 설치했다고 밝혔다.

연구원들은 최소 1,000개의 마젠토 관리자 패널이 해킹당했다는 사실을 발견하고 2016년 이후로 딥웹(Deep Web)과 다크웹(Dark Web)에서 해당 플랫폼에 대한 관심이 수그러들지 않고 있다고 말했다. 게다가 파워프론트(Powerfront) CMS와 오픈카트(OpenCart)에 대한 관심도 잘 알려져 있다.

->다크웹, 딥웹, 다크 인터넷이란?

수년 동안 오픈소스 코드의 인기가 상승했으며 모든 산업에서 모든 규모의 기업들이 사용하고 있다.

시장에서 널리 알려진 오픈소스 운영체제 외에도 기업 사용자들은 오픈소스 생산성 소프트웨어, 관리자와 개발자를 위한 툴과 자체 소프트웨어 개발에 사용하는 다양한 코드 라이브러리를 활용한다. 심지어 상용 소프트웨어도 일반적으로 오픈소스 코드를 기반으로 개발된다.

큐델스키 시큐리티(Kudelski Security)의 CTO 앤드류 하워드는 "기업에서 오픈소스 소프트웨어가 더욱 광범위하게 도입되고 있다"고 밝혔다. 이어서 "기업이 애자일 방법론으로 가면서 오픈소스가 더욱 중요해지고 있으며 더 많은 툴이 제공되고 있다. 오늘날 시장에 진입하는 새 소프트웨어 개발자를 보면 오픈소스 기술에 익숙하게 교육을 받았다"고 덧붙였다.

오픈소스의 보안 이점
개발자는 오픈소스 소프트웨어에 크게 의존하며 기업들은 특히 대형 그룹이 유지관리하는 주요 오픈소스 프로젝트에 익숙하다. 또한 보안에 대한 ‘다수의 관찰자’ 접근방식이 존재한다. 하워드는 "오픈소스 소프트웨어를 사용할 때의 주요 이점이 있다. 무엇보다 비용이 절감된다"고 강조했다. 이어서 "이론적으로 더 많은 사람이 관심을 두고 있다. 하지만 그는 소규모 프로젝트나 코드 라이브러리에는 적용되지 않는다. 일부 소프트웨어는 커뮤니티가 전혀 없다"고 덧붙였다.

오픈소스 코드의 또 다른 보안 이점은 문제가 있는 경우 기업이 이를 공개하여 즉시 해결할 수 있다는 점이다. 시놉시스(Synopsys, Inc.)의 오픈소스 솔루션 관리자 멜 라구노에 따르면, 코드가 비전매 특허 계약에 따라 라이선스가 있는 경우 일반적으로 업체가 대응할 때까지 기다려야 한다.

오픈소스 소프트웨어가 보안 위협을 유발하는 이유
시놉시스는 오픈소스 코드의 결함을 스캔하는 무료 서비스인 커버리티(Coverity)를 관리한다. 라구노는 "전체적으로 오픈소스 소프트웨어의 품질이 개선되었다"고 강조했다. "우리의 스캔 프로젝트에 약 7억 5천만 줄의 오픈소스 코드가 참여하고 있으며 110만 개의 결함을 식별했고 65만 개의 결함이 이미 해결되었다." 그는 소규모를 포함한 많은 프로젝트에서 코드의 잠재적인 보안 취약성을 스캔하지 않는다고 말했다.

예를 들어, 블랙덕 소프트웨어(Black Duck Software, Inc.)는 55만 프로젝트에서 100억 줄 이상의 오픈소스 코드를 추적한다. 이것이 다가 아니다. 리눅스 재단은 310억 줄의 코드가 오픈소스 저장소에 제출되었다고 보고했다.

이 모든 오픈소스 코드를 누가 사용하고 있을까? 모두가 사용하고 있다. 최근의 블랙덕 보고서에 따르면 오픈소스 구성요소는 현재 상업용 애플리케이션 중 96%에 사용되고 있다. 일반적인 애플리케이션은 147개의 오픈소스 구성요소가 있었으며 애플리케이션 중 67%는 취약성이 알려진 구성요소를 사용했다.

미 정부는 CVE(Common Vulnerability Enumeration) 목록NVD(National Vulnerability Database)를 후원한다. 2017년, 8,000개 이상의 새 취약성이 CVE 목록에 추가되됐. 높은 수치다.

그렇다면 기업들이 오픈소스 소프트웨어를 사용하는 이유는 무엇일까? 시놉시스의 블랙덕 보안 전략가 마이크 피팅거는 "일반적인 애플리케이션에서 코드 기반의 1/3 이상이 오픈소스다"고 강조했다. "이 코드 기반의 1/3을 대체하려면 개발팀이나 개발 시간을 50% 보강해야 하며, 현재로서는 불가능한 옵션이라고 생각한다"고 덧붙였다.

런던에서 여행 검색 엔진을 만드는 스카이스캐너(Skyscanner Ltd.)를 예로 들어보자. 해당 기업은 닷넷 같은 폐쇄적인 비전매 특허 플랫폼을 사용해 운용했었다. 스카이스캐너의 보안 엔지니어 알렉스 해리스에 따르면, 지난 수년 동안 오픈소스를 포함하여 더욱 광범위한 언어와 기술로 마이그레이션했다. 그는 "우리 엔지니어들이 이제는 다양한 소스로부터 의존성을 가져와 수 분 안에 코드를 배치할 수 있다"고 말했다.

또한 해리스는 이로 인해 보안 문제도 발생했다고 지적했다. "오픈소스는 커뮤니티가 라이브러리의 보안 버그를 검토한다는 점을 맹신하고 있는 것 같다"며 "현실적으로 항상 그런 것은 아닌 것 같다"고 그는 전했다.

해리스에 따르면, 여러 보편적인 라이브러리에는 취약성이 문서로 잘 정리돼 있다. 엔지니어들은 이런 라이브러리에서 코드를 가져와 배치하기 때문에 시인성 문제가 발생했다. 그는 "우리 제품에 있는 의존성이 몇 개인지 몰랐을 뿐"이라고 밝혔다.

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.

X