- 공개SW역량프라자 -

오픈소스 활용 증가에 따라 오픈소스 보안취약점 증가

 

  • 상용SW의 96%가 공개SW를 활용, 코드의 약 60%가 공개SW로 이루어짐
  • 공개SW 활용증가에 따라 사이버 공격자의 관심도 증가 
  • 공개SW는 빠른 보안 패치가 장점, 사용자의 모니터링과 업데이트 필수

 

<2019 상반기 이슈브리핑>

 

□ 상용SW의 96%에서 오픈소스 발견(‘17, ’18년과 동일), 분석된 코드의 약 60%가 오프소스(‘17년 대비 3% 상승)(시높시스, 2019.05.07)

  • ­해당 보고서에서 제시하는 17개의 대표 산업군 중, 13개 산업에서 코드베이스 內 평균 50% 이상의 부분을 오픈소스가 차지

 

<산업별 코드베이스 內 공개SW 포함 비율>

* 출처 : 2019 오픈소스 보안 및 위협 분석보고서 발표, 시높시스

 

□ 매년 오픈소스 보안취약점 발견 최고치 경신중, NVD에서 16,500개 이상의 새로운 오픈소스 보안취약점 발표 (‘17년 4,800건 보고)

  • ­검증된 코드베이스의 60% 이상이 최소 하나 이상의 보안취약점을 포함하며, 40% 이상은 고위험군의 보안취약점을 포함

 

 

<'19년 상반기 주요기사>

 

□ 리눅스 커널 취약점 증가 추세에 따른 악성코드 증가

  • ­오픈소스의 보안은 전 세계 커뮤니티의 도움을 받아 즉각 패치가 이뤄진다는 장점이 있으나, 사용자의 실시간 업데이트가 전제되어야 함
  • 세계 웹서버의 리눅스 점유율(60% 이상)이 증가함에 따라 기존 윈도우 대상 악성 코드가 리눅스 버전 악성코드로 출현
    1. * ‘17년 인터넷 나야나 웹호스팅 업체의 153개 리눅스 서버에 랜섬웨어 에레보스 감염

 

□ (BDSK)해커들 타깃이 되고 있는 오픈소스 보안취약점 적극 관리 필요, 상용SW 96%는 오픈소스 사용 그중 78%에 보안 취약점 존재

  • 오픈소스 증가에 따라 오픈소스 보안취약점을 악용한 해킹위협도 증가, 2017년 신규 발견된 오픈소스 보안취약점은 4,800개로 전년 대비 32% 증가한 추세(NVD 발표)

 

□ (화이트소스)오픈소스에서 가장 많이 사용하는 7개 언어 보안 보고서 발표, 가장 많은 취약점이 발견된 언어는 C언어

  • ­발견된 취약점의 47%가 C언어, php(17%), 자바(12%), 자바스크립트(11%), 파이썬(6%), C++(6%), 루비(5%)
  • 모든 언어에서 시간이 지날수록 발견된 취약점이 늘어나고 있으며 각각의 수치는 10년 동안 10배 이상 증가

 

□ (시스코 탈로스팀)2019년 1월부터 4월까지 오픈소스 기술들을 결합해 만든 도구를 활용한 사이버 공격(프랑케슈타인) 발견

  • ­최근 사이버 공격자들은 자체 개발하지 않고 오픈소스 툴을 사용하는 사례가 늘고 있음

 

□ (아르민 라즈뮤)유명 텍스트 편집기인 빔(Vim)과 네오빔(Neovim)에서 리눅스 장비에서 실행되는 원격 OS 명령어 실행 취약점 발견

  • ­고위험군 취약점으로 보안 소프트웨어 샌드박스를 회피한 모드라인을 통해 원격에서 임의의 OS 명령 실행이 가능

 

 

□ 시사점

  • 오픈소스는 상용SW에 비해 더 빠른 보안취약점의 발견과 패치가 장점이지만 사용자의 모니터링과 관리가 필수적임
  • 오픈소스 활용 증가에 따라 사이버 공격자의 해킹 위협도 증가하고 있으므로 오픈소스 목록 관리 등을 통한 보안취약점 관리체계 구축 필요 

 

※ 참고문헌 Reference

  • BDSK, 해커들 타깃이 되고 있는 오픈소스 보안취약점..적극 관리 필요해, 데일리시큐, 2019.1.24.
  • 효과적인 리눅스 보안을 위한 방안, 전자신문, 2019.3.12.
  • 가장 보안에 취약한 프로그래밍 언어는 무엇?, 바이라인네트워크, 2019.3.27.
  • 오픈소스 툴 마구 짜깁기하는 프랑켄슈타인 공격 발견돼, 시큐리티월드, 2019.6.10.
  • 리눅스 앱에서 임의 OS 명령 실행하게 해주는 취약점 발견, 시큐리티월드, 2019.6.13.
  • 2019 Open Source Security and Risk Analysis report, Synopsys, 2019.05.07. 
  • 공개SW 포털(oss.kr) ‘공개SW 소식’ 참조

 

 

Creative Commons License공개SW역량프라자에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
번호 제목 작성자 조회수 작성
공지 [공개SW 월간브리핑]기업의 클라우드 활용과 공개SW file OSS관리자 191 2019-07-30
공지 [기고] 엔터프라이즈 공개SW 클라우드 전환 file OSS관리자 194 2019-07-30
공지 2018년 공개SW 기업 편람 및 솔루션맵 개정판 출간 OSS 1878 2018-06-01
공지 공개소프트웨어 연구개발 수행 가이드라인 file OSS 2310 2018-04-26
공지 오픈소스 라이선스 해설 (Version 1.0.0)[개발자, 관리자, OS 전문가 및 기업 실무 지침] file OSS 9436 2017-07-05
공지 공공 공개SW 거버넌스 가이드 발간 file OSS 15496 2017-03-22
공지 U2L(Unix To Linux) FAQ 책자 발간 file OSS 15484 2017-03-15
331 [공개SW 2019 상반기결산 ⑤]소프트웨어 기업 핵심 전략은 클라우드와 오픈소스 OSS관리자 219 2019-07-03
330 [공개SW 2019 상반기결산 ④]오픈소스 활용 증가에 따라 오픈소스 보안취약점 증가 file OSS관리자 239 2019-07-03
329 [공개SW 2019 상반기결산 ③]특정 OS 종속성 탈피를 위한 정부·공공기관 개방형 OS 단계적 도입 확대 2 file OSS관리자 498 2019-07-03
328 [공개SW 2019 상반기결산 ②]기업들의 다양한 블록체인 플랫폼 개발 전쟁 및 오픈소스로 시장 선점 가열 file OSS관리자 318 2019-07-03
327 [공개SW 2019 상반기결산 ①]엔터프라이즈 중심의 AI 투자 및 오픈소스화 지속 file OSS관리자 559 2019-07-02
326 [공개SW 월간브리핑]2018년 GitHub Octoverse를 통해 본 공개SW 프로그래밍 언어 순위 OSS 2066 2018-12-04
325 칼럼 | 쏘리! 리눅스, 이제 주인공은 ‘쿠버네티스’다 OSS 722 2018-11-23
324 [Redhat Brandpost]컨테이너 플랫폼으로 데브옵스 환경까지 조성하는 법 OSS 535 2018-11-06
323 [Redhat Brandpost] ‘더 풍요로운 쿠버네티스 생태계의 미래’ 오픈시프트 4.0 이후를 말한다. OSS 505 2018-11-02
322 [Redhat Brandpost] 오픈시프트가 지원하는 베어메탈과 쿠버네티스 환경 OSS 602 2018-11-02
맨 위로
맨 위로