본문 바로가기

- 공개SW역량프라자 -

오픈소스 활용 증가에 따라 오픈소스 보안취약점 증가

 

  • 상용SW의 96%가 공개SW를 활용, 코드의 약 60%가 공개SW로 이루어짐
  • 공개SW 활용증가에 따라 사이버 공격자의 관심도 증가 
  • 공개SW는 빠른 보안 패치가 장점, 사용자의 모니터링과 업데이트 필수

 

<2019 상반기 이슈브리핑>

 

□ 상용SW의 96%에서 오픈소스 발견(‘17, ’18년과 동일), 분석된 코드의 약 60%가 오프소스(‘17년 대비 3% 상승)(시높시스, 2019.05.07)

  • ­해당 보고서에서 제시하는 17개의 대표 산업군 중, 13개 산업에서 코드베이스 內 평균 50% 이상의 부분을 오픈소스가 차지

 

<산업별 코드베이스 內 공개SW 포함 비율>

20190703030156ce071a48839e79c519ad33f759ed2ffac371b124.png

* 출처 : 2019 오픈소스 보안 및 위협 분석보고서 발표, 시높시스

 

□ 매년 오픈소스 보안취약점 발견 최고치 경신중, NVD에서 16,500개 이상의 새로운 오픈소스 보안취약점 발표 (‘17년 4,800건 보고)

  • ­검증된 코드베이스의 60% 이상이 최소 하나 이상의 보안취약점을 포함하며, 40% 이상은 고위험군의 보안취약점을 포함

 

 

<'19년 상반기 주요기사>

 

□ 리눅스 커널 취약점 증가 추세에 따른 악성코드 증가

  • ­오픈소스의 보안은 전 세계 커뮤니티의 도움을 받아 즉각 패치가 이뤄진다는 장점이 있으나, 사용자의 실시간 업데이트가 전제되어야 함
  • 세계 웹서버의 리눅스 점유율(60% 이상)이 증가함에 따라 기존 윈도우 대상 악성 코드가 리눅스 버전 악성코드로 출현
    1. * ‘17년 인터넷 나야나 웹호스팅 업체의 153개 리눅스 서버에 랜섬웨어 에레보스 감염

 

□ (BDSK)해커들 타깃이 되고 있는 오픈소스 보안취약점 적극 관리 필요, 상용SW 96%는 오픈소스 사용 그중 78%에 보안 취약점 존재

  • 오픈소스 증가에 따라 오픈소스 보안취약점을 악용한 해킹위협도 증가, 2017년 신규 발견된 오픈소스 보안취약점은 4,800개로 전년 대비 32% 증가한 추세(NVD 발표)

 

□ (화이트소스)오픈소스에서 가장 많이 사용하는 7개 언어 보안 보고서 발표, 가장 많은 취약점이 발견된 언어는 C언어

  • ­발견된 취약점의 47%가 C언어, php(17%), 자바(12%), 자바스크립트(11%), 파이썬(6%), C++(6%), 루비(5%)
  • 모든 언어에서 시간이 지날수록 발견된 취약점이 늘어나고 있으며 각각의 수치는 10년 동안 10배 이상 증가

 

□ (시스코 탈로스팀)2019년 1월부터 4월까지 오픈소스 기술들을 결합해 만든 도구를 활용한 사이버 공격(프랑케슈타인) 발견

  • ­최근 사이버 공격자들은 자체 개발하지 않고 오픈소스 툴을 사용하는 사례가 늘고 있음

 

□ (아르민 라즈뮤)유명 텍스트 편집기인 빔(Vim)과 네오빔(Neovim)에서 리눅스 장비에서 실행되는 원격 OS 명령어 실행 취약점 발견

  • ­고위험군 취약점으로 보안 소프트웨어 샌드박스를 회피한 모드라인을 통해 원격에서 임의의 OS 명령 실행이 가능

 

 

□ 시사점

  • 오픈소스는 상용SW에 비해 더 빠른 보안취약점의 발견과 패치가 장점이지만 사용자의 모니터링과 관리가 필수적임
  • 오픈소스 활용 증가에 따라 사이버 공격자의 해킹 위협도 증가하고 있으므로 오픈소스 목록 관리 등을 통한 보안취약점 관리체계 구축 필요 

 

※ 참고문헌 Reference

  • BDSK, 해커들 타깃이 되고 있는 오픈소스 보안취약점..적극 관리 필요해, 데일리시큐, 2019.1.24.
  • 효과적인 리눅스 보안을 위한 방안, 전자신문, 2019.3.12.
  • 가장 보안에 취약한 프로그래밍 언어는 무엇?, 바이라인네트워크, 2019.3.27.
  • 오픈소스 툴 마구 짜깁기하는 프랑켄슈타인 공격 발견돼, 시큐리티월드, 2019.6.10.
  • 리눅스 앱에서 임의 OS 명령 실행하게 해주는 취약점 발견, 시큐리티월드, 2019.6.13.
  • 2019 Open Source Security and Risk Analysis report, Synopsys, 2019.05.07. 
  • 공개SW 포털(oss.kr) ‘공개SW 소식’ 참조

 

 

Creative Commons License공개SW역량프라자에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
공개SW 가이드/보고서 - 번호, 제목, 작성자, 조회수, 작성
번호 제목 작성자 조회수 작성
공지 [2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file support 3233 2024-01-03
공지 [2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file support 2714 2024-01-03
공지 [2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file support 2663 2024-01-03
공지 공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file support 15082 2022-07-28
공지 공개소프트웨어 연구개발 수행 가이드라인 file OSS 15018 2018-04-26
334 [공개SW 2019 상반기결산 ④]오픈소스 활용 증가에 따라 오픈소스 보안취약점 증가 file OSS관리자 1664 2019-07-03
333 [공개SW 2019 상반기결산 ③]특정 OS 종속성 탈피를 위한 정부·공공기관 개방형 OS 단계적 도입 확대 2 file OSS관리자 2239 2019-07-03
332 [공개SW 2019 상반기결산 ②]기업들의 다양한 블록체인 플랫폼 개발 전쟁 및 오픈소스로 시장 선점 가열 file OSS관리자 2029 2019-07-03
331 [공개SW 2019 상반기결산 ①]엔터프라이즈 중심의 AI 투자 및 오픈소스화 지속 file OSS관리자 1804 2019-07-02
330 [공개SW 월간브리핑]2018년 GitHub Octoverse를 통해 본 공개SW 프로그래밍 언어 순위 OSS 3068 2018-12-04
329 칼럼 | 쏘리! 리눅스, 이제 주인공은 ‘쿠버네티스’다 OSS 1498 2018-11-23
328 [Redhat Brandpost]컨테이너 플랫폼으로 데브옵스 환경까지 조성하는 법 OSS 1994 2018-11-06
327 [Redhat Brandpost] ‘더 풍요로운 쿠버네티스 생태계의 미래’ 오픈시프트 4.0 이후를 말한다. OSS 1608 2018-11-02
326 [Redhat Brandpost] 오픈시프트가 지원하는 베어메탈과 쿠버네티스 환경 OSS 1901 2018-11-02
325 오픈소스 보안 현황과 시사점 OSS 3976 2018-10-23
맨 위로
맨 위로