"위험의 선행 지표를 살펴라" 오픈소스 소프트웨어의 10가지 위험과 완화 대책
2024.07.18
ⓒITWorld / Chris Hughes | CSO
최근 XZ 파일 압축/압축 해제에 사용되는 XZ 유틸즈(XZ Utils)에서 백도어가 발견되면서 OSS의 보안 및 사용 방식을 점검해야 할 필요성이 커지고 있다. 오픈소스 소프트웨어(Open Source Software, OSS)는 최신 소프트웨어 개발의 기반이 되지만, 공급망의 취약한 고리가 될 수 있다.
XZ 유틸즈의 백도어가 제때 발견되지 않았다면 오늘날 파급력이 가장 큰 소프트웨어 공급망 침해 사고가 됐을 수 있다. XZ 유틸즈 백도어는 Log4j처럼 광범위하게 악용되지는 않았지만, 현대의 디지털 생태계가 매우 취약하며 OSS를 소비하고 보호하는 방식을 성숙시켜야 한다는 경각심을 일깨운다.
OWASP(Open Web Application Security Project)의 OSS 상위 10가지 위험(Top 10 Risks for Open Source Software)과 같은 사이버보안 실무자를 위한 리소스와 지침은 이런 사건에 대응하며 조금씩 발전하고 있다. OWASP가 선정한 상위 10가지 위험은 원래 소프트웨어 공급망 및 애플리케이션 보안 업체인 엔돌 랩스(Endor Labs)에서 OSS 및 CI/CD 파이프라인의 안전한 소비와 취약점 관리에 중점을 두고 만들었다. 해당 프로젝트에는 팔로알토, 해시코프, 씨티뱅크와 같은 업계 리더의 지원이 포함됐다.
전통적인 취약점 관리 방법은 흔히 CVE(Common Vulerabliity and Exposures) 데이터베이스에 포함된 알려진 취약점을 살펴보는 것이다. 하지만 알려진 취약점은 위험의 후행 지표라는 인식이 점점 확산하고 있다.
성숙한 오픈소스 사용 문화를 위해서는 특정 OSS 라이브러리, 구성 요소 및 프로젝트와 관련된 위험이 있음을 알려줄 수 있는 위험의 선행 지표를 살펴보는 패러다임의 전환이 필요하다. 이는 전반적으로 OSS를 보다 안전하게 사용하고 익스플로잇 및 취약점으로 이어지는 잠재적 위험을 완화하는 데 도움이 된다.
다음은 OWASP가 꼽은 상위 10가지 OSS 위험과 완화 대책이다.
(후략)
[원본기사 : https://www.itworld.co.kr/mainnews/344775]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 435594 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 424485 | 2020-10-27 |
11013 | 애플, 최강 성능 오픈 소스 sLM ‘DCLM’ 출시..."데이터 큐레이션으로 성능 극대화" | 1264 | 2024-07-23 |
11012 | [주간 OSS 동향리포트] ‘2024 오픈소스 컨트리뷰션 아카데미(OSSCA) 참여형 발대식’을 개최 | 1907 | 2024-07-23 |
11011 | 엔비디아 “GPU 커널 모듈 모두 오픈소스로…” | 1153 | 2024-07-23 |
11010 | SW로 탄소중립을 실천하는 방법은?…오픈소스 역할 커져야 | 1006 | 2024-07-23 |
11009 | "위험의 선행 지표를 살펴라" 오픈소스 소프트웨어의 10가지 위험과 완화 대책 | 1106 | 2024-07-19 |
11008 | "개발자에 특화된 번역 등…" 구글, 새로운 오픈소스 및 개발 툴 공개 | 1083 | 2024-07-19 |
11007 | 허깅페이스, 매개변수 135M에 불과한 ‘스몰LM’ 출시 | 981 | 2024-07-18 |
11006 | [주간 OSS 동향리포트] 정부, 2027년 시행 목표로 국가 SW공급망 보안 제도 마련 예정 | 1646 | 2024-07-18 |
11005 | NIPA "오픈소스 전문가 양성"···15개팀 발대식 | 925 | 2024-07-16 |
11004 | 패트로누스 AI, GPT-4보다 똑똑한 '헛소리 탐지기' 오픈 소스 출시 | 727 | 2024-07-16 |
0개 댓글