Offcanvas

보안 / 오픈소스

블랙덕소프트웨어 "상용 소프트웨어 67% 오픈소스 보안 취약"

2017.05.18 편집부  |  CIO KR
블랙덕소프트웨어가 최근 발표한 ‘2017 오픈소스 보안과 리스크 분석’ 보고서에 따르면, 2016년 새롭게 발견된 오픈소스 컴포넌트 보안 취약점은 3,623개로 하루에 10여 개씩 새로운 보안취약점이 발견된 것으로 나타났다.

오픈소스 컴포넌트를 사용하는 애플리케이션에서의 보안취약점 발견율은 67% 이상이며, 많은 경우 관련 보안취약점은 평균 4년 이상 공개적으로 노출돼 해커들의 공격대상이 되고 있다. 각 애플리케이션 당 발견된 보안취약점은 평균 27개로 집계됐으며, 이번 조사를 통해 발견된 보안취약점의 52.6%가 미국 국립표준기술연구소(NIST)에서 높은 위험도의 취약점으로 지정된 것으로 확인됐다.

높은 위험도의 보안취약점은 아파치 커몬 콜렉션(Apache Commons Collections)과 스프링 프레임워크(Spring Framework), 오픈SSL(OpenSSL)과 같은 가장 보편적인 컴포넌트들에서 발견됐다. 운영시스템이나 프로그래밍 언어의 핵심이 되는 인프라스트럭처용 컴포넌트에서도 다수의 심각한 보안위협이 발견되었는데 리눅스 커널 v.2.6.27.7의 경우 전체 보안취약점이 293개, 심각한 보안취약점이 73개 발견됐다.

금융 서비스와 핀테크 산업이 애플리케이션당 보안취약점의 평균 개수가 가장 많은 산업으로 평균 52.5개의 보안취약점이 발견됐으며, 심각한 보안취약점을 포함하는 애플리케이션의 비율이 가장 높은 산업군은 리테일 및 이커머스 산업(83%)으로 보고됐다. 조사된 전체 애플리케이션 중 60%가 높은 위험도의 보안취약점을 포함하고 있었고, 이번에 조사된 사이버 보안 애플리케이션의 59%도 높은 위험도의 보안취약점을 포함하고 있는 것이 드러났다.

오픈소스 보안취약점뿐만 아니라 라이선스 충돌도 빈번하게 발생한다. 조사된 애플리케이션의 85% 이상이 라이선스 컴플라이언스를 벗어난 컴포넌트를 포함한 것으로 나타났다. 또한 애플리케이션의 53%가 알려지지 않은 라이선스를 포함하고 있는데, 이는 저작권자로부터 소프트웨어에 대한 사용, 수정 및 공유에 대한 허가를 받은 사람이 없다는 것을 의미하며, 잠재적인 소송위험을 내포한다.

블랙덕소프트웨어는 2017오픈소스 보안과 리스크 분석 리포트에서 기업의 오픈 소스 관리 방식으로 ▲사용한 오픈소스의 전체 목록 구축 ▲기존의 알려진 보안취약점과 오픈소스 맵핑 ▲라이선스와 품질 리스크 식별 ▲오픈소스 리스크 정책 집행 ▲새로운 보안위협에 대한 모니터링 등을 채택하기를 권장했다.

블랙덕소프트웨어코리아 김택완 대표는 “보안취약점, 라이선스 위반 등 오픈소스를 둘러싼 이슈 관리를 위해서는 오픈소스 가시화 및 관리가 필수”라며, “이는 인력만으로 해결될 수 없는 영역이기 때문에 자동화된 툴을 통해 탐지해 애플리케이션을 보호하는 것이 기업 경쟁력을 강화하는 데에 큰 도움이 될 수 있다”고 말했다.

‘2017 오픈소스 보안과 리스크 분석’ 보고서는 블랙덕의 오픈소스 R&I센터인 COSRI(Center for Open Source Research and Innovation)에 의해 작성되었고, 조사 대상은 2016년 오픈소스 검증을 수행한 1,071개의 상용 소프트웨어의 익명화된 데이터이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.