2018년 06월 26일

 

 ⓒITWORLD, 편집부 | ITWorld

 

시놉시스가 최근 발표한 ‘2018 오픈소스 보안과 리스크 분석’ 보고서에 따르면, 오픈소스 보안취약점은 최근 5년간 지속적으로 증가해 온 것으로 나타났다. 2017년 새롭게 발견된 오픈소스 컴포넌트 보안취약점은 약 4,800개 이상이며, 코드베이스 당 오픈소스 보안취약점 수는 2016년 대비 최대 134%까지 증가한 바 있다.

오픈소스 컴포넌트를 사용하는 애플리케이션 내 보안취약점 발견율은 약 78%로, 코드베이스당 평균 64개의 보안취약점이 존재하는 것으로 확인됐다. 특히, 올해 보고된 보안취약점의 평균 연령은 지난해 대비 2년 증가한 6년으로, 점점 더 많은 보안취약점들이 코드베이스에 축적되며 해커의 공격 대상이 되고 있음을 시사했다.

 

spill_800x800_2e4db9fa040f610b4624d85ae26a56a0c3a374f7.png

 

보고서에 따르면, 검증된 코드베이스에서 발견된 보안취약점의 54% 이상이 고위험군에 해당됐다. 가장 높은 위험도의 보안취약점은 아파치 커먼즈 콜렉션(Apache Commons Collections)와 스프링 프레임워크와 같은 보편적인 컴포넌트로 지난해와 동일했으며, 코드베이스의 약 17%는 하트브리드(Heartbleed), 로그잼(Logjam), 푸들(Poodle)과 같이 널리 알려진 보안취약점을 포함했다.

보안취약점을 지닌 컴포넌트는 모든 산업군에서 발견됐다. 그중, 심각한 보안취약점을 포함하는 애플리케이션 비율이 가장 높은 산업군은 인터넷 & 소프트웨어 기반 시설(67%)이었으며, 인터넷 & 모바일 애플리케이션 산업(60%)이 뒤를 이었다. 일반 대중들이 민감하게 여기는 금융 서비스 및 핀테크 시장은 전체 애플리케이션의 약 34%가 심각한 보안취약점을 지닌 것으로 나타났고, 헬스케어, 헬스테크 및 라이프 사이언스 산업은 31%로 비슷한 수준을 보였다.

오픈소스 라이선스 충돌은 보안취약점과 함께 대표적인 오픈소스 관리 이슈이다. 오픈소스 컴포넌트는 조사된 애플리케이션의 약 96%에 존재하며, 이 가운데 74%는 라이선스 충돌이 있는 컴포넌트를 포함했다.

산업군별 라이선스 충돌을 포함한 애플리케이션의 비율은 최저가 61%로 평균 비율이 보안취약점 대비 더 높은 것으로 나타났다. 라이선스 이슈 비율이 가장 높은 산업은 제조업으로 약 91%에 달했고, 기업 소프트웨어(83%)가 그 뒤를 이었다. 금융 및 핀테크 산업(78%)은 세 번째로 높은 것으로 확인됐다.

시놉시스의 검증 데이터는 오픈소스 컴포넌트가 다양한 산업군에서 상용 애플리케이션의 11~77%를 차지함을 보여주었다. 오픈소스 라이선스 의무사항을 준수하지 않을 경우 법적 소송 또는 IP 침해 등의 심각한 위험에 처할 수 있고, 오픈소스의 보안취약점은 사이버 공격의 표적이 되기 쉽다. 기업은 이를 위한 근본적인 대응 방안을 마련할 필요가 있다.

블랙덕소프트웨어코리아(www.blackducksoftware.co.kr) 김택완 대표는 “오픈소스를 둘러싼 이슈관리를 위해서는 오픈소스 가시화가 필수”라며, “이는 인력만으로 해결될 수 없는 영역이기 때문에 자동화된 툴을 통해 오픈소스의 보안취약점과 라이선스 리스크를 탐지해야 한다”고 말했다.

‘2018 오픈소스 보안과 리스크 분석’ 보고서는 시놉시스 오픈소스 연구 및 혁신 주관센터(COSRI)에 의해 작성되었고, 조사 대상은 2017년 오픈소스 검증을 수행한 1,100개의 상용 소프트웨어의 익명화된 데이터이다. editor@itworld.co.kr

[원문보기: http://www.itworld.co.kr/news/109772]

 


※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지

 

 

==================================================================

[참고]

 

'2018 오픈소스 보안과 리스크 분석 리포트'는 아래 블랙덕소프트웨어코리아 사이트에서 받을수 있습니다.

 

 리포트 다운로드 http://www.blackducksoftware.co.kr/cta_ossra
 

- 공개SW역량프라자 -

==================================================================

2018
번호 제목 작성자 조회수 작성
공지 [공개SW 월간브리핑]오픈소스 컴플라이언스 준수와 OpenChain file OSS관리자 198 2019-09-26
공지 오픈소스 컴플라이언스 관리와 LG전자 사례 file OSS관리자 254 2019-09-26
공지 “오픈소스 컴플라이언스? 공유와 협업으로 모두 함께 달성할 수 있다!” file OSS관리자 202 2019-09-26
공지 [기고] 공개SW 컴플라이언스 준수를 위한 오픈소스 관리 전략 (OpenChain) file OSS관리자 267 2019-09-26
공지 2018년 공개SW 기업 편람 및 솔루션맵 개정판 출간 OSS 2052 2018-06-01
공지 공개소프트웨어 연구개발 수행 가이드라인 file OSS 2450 2018-04-26
공지 오픈소스 라이선스 해설 (Version 1.0.0)[개발자, 관리자, OS 전문가 및 기업 실무 지침] file OSS 9597 2017-07-05
공지 공공 공개SW 거버넌스 가이드 발간 file OSS 15630 2017-03-22
공지 U2L(Unix To Linux) FAQ 책자 발간 file OSS 15601 2017-03-15
295 [기획⑤] 금융산업 덮친 ‘블록체인’…혁신일까, 신기루일까 file OSS 541 2018-07-05
294 새는 IT비용 줄이기··· CIO가 할 수 있는 10가지 file OSS 428 2018-07-03
293 “도커와 쿠버네티스 지배적” 기업의 컨테이너 사용 보고서···시스딕 OSS 802 2018-06-29
292 SK인포섹 EQST그룹, 오픈소스 소프트웨어 보안 가이드북 발간 file OSS 684 2018-06-28
291 한국인터넷진흥원, ‘웹서버 보안 강화 안내서’ 발표 OSS 471 2018-06-28
290 시놉시스, ‘2018 오픈소스 보안과 리스크 분석’ 보고서 발간 file OSS 634 2018-06-26
289 칼럼 | 이전 같지 않은 B2B IT 회사 위상 file OSS 388 2018-06-22
288 '안전지대는 없다' 리눅스 위협하는 봇·백도어·트로이목마·악성코드 file OSS 477 2018-06-22
287 디지털 유목민의 오픈소스 블로그 혁명 ‘오토매틱’ file OSS 487 2018-06-04
286 깃허브의 오픈소스가이드 (한글사이트) file OSS 2600 2018-06-01
맨 위로
맨 위로