Offcanvas

CIO / 애플리케이션

오픈소스 컴포넌트 불안정성이 기업 애플리케이션 위협?

2012.04.03 Thor Olavsrud   |  CIO
오픈소스 컴포넌트는 불필요한 작업을 거치지 않고 개발자들이 효율적으로 코드를 짜도록 하기 때문에 이들에게는 이익이다. 하지만 오픈소스는 상용 소프트웨어만큼 인프라가 많이 알려지지 않았다 기업들은 애플리케이션을 설치하면서 오픈소스 컴포넌트의 인벤토리 운영을 유지해야 하며 프로덕션 애플리케이션이나 리스크에 기댈 수밖에 없다. 게다가 여기에는 몇 가지 취약점들도 있다.

현재 귀사는 개발자가 프로덕션 애플리케이션에서 사용하는 오픈소스 컴포넌트의 인벤토리를 가지고 있는가? 그렇지 않다면 당신은 좋은 회사에 다니는 것이다. 하지만 바로 지금이 개발자 오픈소스 컴포넌트의 인벤토리를 만들어야 할 때일지도 모른다고 소나타입(Sonatype) CEO인 웨인 잭슨은 밝혔다. 잭슨에 따르면, 소나타입은 오픈소스 구성 요소에 대한 메이븐 센트럴 리포지터리(Central Repository)를 운영 중이다.

2003년, 소나타입의 설립자 제이슨 반 질의 아이디어 아파치 메이븐(Apache Maven)이 톱 레벨(top-level) 아파치 소프트웨어 재단(Apache Software Foundation) 프로젝트로 부상함에 따라, 센트럴 리포지터리는 오픈소스 컴포넌트의 1차 소스로 자리잡게 되었다. 잭슨은 센트럴 리포지터리에 매년 30만 개의 컴포넌트에 대한 40억 건의 요청이 전달됐다고 소개했다.

그러나 애플리케이션 보안 전문 기관인 어스펙트 시큐리티(Aspect Security)의 도움을 받아 센트럴 리포지터리의 컴포넌트들이 활용되는 방식에 관련한 데이터를 분석하며, 잭슨은 기업들이 오픈소스 컴포넌트와 관련한 작업을 시행하는데 보다 많은 신중을 기해야 할 필요가 있다는 사실을 확인할 수 있었다. 시장의 많은 기업들이 보안에 취약한 구형 버전의 컴포넌트를 배치하며 그들 스스로를 위험에 노출 시키고 있었기 때문이다.

500대 기업이 다운로드 한 불안정한 컴포넌트, 280만 건
소나타입의 데이터에 대해 이뤄진 어스펙트 시큐리티의 연구에서는, 일반적인 소프트웨어 애플리케이션의 80% 이상이 오픈소스 컴포넌트이며, 2진법 형태로 소비되는 프레임워크임이 확인됐다. 또한 세계 500대 기업들이 한 해 다운로드 하는 컴포넌트 중 280만 개 이상이 미흡한 안전성을 보여주는 것으로 조사됐다. 기업들이 매달 센트럴 리포지터리로부터 다운로드 하는 컴포넌트는 평균 1,000개 이상이었고, 대형 은행들과 독립 소프트웨어 업체들의 경우 그 수치는 더욱 높았다. 그리고 가장 대중적이라 알려진 컴포넌트 중 많은 것들에서는 약간씩의 결점들이 발견되기도 헸다.

알려진 오픈소스의 취약점들

 
출처: 어스펙트 시큐리트의 소나타입 데이터 연구

이번 연구를 통해 우리는 시장의 가장 대중적인 31개의 오픈소스 보안 라이브러리와 프레임워크의 불안정 버전이 다운로드 된 횟수가 4,600만 건 이상이라는 사실을 발견할 수 있었다. 예를 들어, 일부 취약성이 포착된 구글 웹 툴킷(GWT, Google Web Toolkit)의 경우 그 다운로드 횟수는 1,770만 건에 달했으며, 서세스(Xerces)나 스프링 MVC(Spring MVC), 스트러츠 1.x(Struts 1.x) 등의 인기 라이브러리에서도 취약성이 발견된 바 있다.

물론 많은 컴포넌트와 프레임워크가 신형, 패치 버전으로 다시 배포되긴 하지만, 사용자들은 이에 무관하게 기존의 불안정한 버전을 다운로드 하는 모습을 보여준다. 이번 연구 결과 불안정한 구형 버전과 안전 문제가 해결된 신 버전 모두를 제공하는 인기 컴포넌트 가운데 3 분의 1 가량에서 여전히 구 버전이 일반적으로 다운로드 되는 경향이 나타났다.

잭슨은 “결점이 존재하는 컴포넌트가 이와 같은 소비율을 보인다는 사실은 우리에게 충격이었다. 내 생각에 그 근본 원인은 공지 인프라의 부족으로 야기된 사용자들의 인식 결핍에 있다”라고 설명했다.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.