오픈소스는 개발을 빠르고 쉽게 만들어 준다는 큰 장점을 가지고 있지만, 출처가 확실하지 않아 취약점이 개발자도 모르게 심긴다는 큰 단점도 가지고 있다. 이 때문에 오픈소스에 대한 관리를 제도화 하는 것에 대한 목소리가 점점 높아지고 있다.

오픈소스 소프트웨어에의 코드베이스 공유 비율이 2021년 한 해 동안 78% 증가했다. 같은 코드베이스를 사용하여 만들어진 소프트웨어가 적지 않다는 뜻인데, 이렇게 공유되는 것 대부분 취약하다는 조사 결과가 발표됐다. 개발자들 대부분 관리 기간이 끝났거나 관리자가 더 이상 손보지 않는 코드들을 사용하고 있다고 하며, 따라서 수많은 소프트웨어들이 취약한 채로 유통 및 사용되고 있다고 한다.
 

[이미지 = utoimage]

보안 업체 시놉시스(Synopsys)가 알아낸 내용은 다음과 같다.
1) 최소 한 개 이상의 취약점을 내포하고 있는 소프트웨어 코드베이스 : 81%
2) 4년 이상된 오픈소스 요소들을 사용하고 있는 소프트웨어 코드베이스 : 85%
3) 지난 2년 동안 개발자의 관리가 전혀 없었던 소프트웨어 코드베이스 : 88%

하지만 이는 지난 해에 비해 대체적으로 향상된 것이다. 왜냐하면 작년에 발표된 보고서에 나타난 위 항목의 수치는 차례대로 84%, 85%, 91%였기 때문이다. 즉 아직 잘 하고 있다고 말하기는 어렵지만 개발사들이 올바른 방향으로 움직이기 시작했다고는 볼 수 있다고 시놉시스의 보안 전략가인 팀 맥키(Tim Mackey)는 설명한다.

시놉시스는 17개 산업에 걸쳐 2400개 이상의 상업용 코드베이스들을 스캔해서 위 결과를 얻어냈다고 한다. 이는 지난 해 스캔한 코드들에 비해 64% 많은 것이었다. 

이번 연구 결과로 감사가 진행된 코드베이스들에서 고위험군 취약점들의 수가 상당히 줄어들었다는 걸 알 수 있었다고 시놉시스는 발표했다. 특히 가장 많이 익스플로잇 되는 상위 10개 고위험군 취약점이 발견되는 확률이 전년도에 비해 줄어들었다고 한다. “2020년에는 가장 유명한 취약점들을 포함하고 있는 코드베이스가 29%였습니다. 2021년의 데이터는 8%에 그쳤습니다.”

시놉시스는 자주 익스플로잇 되는 취약점이 발견되는 사례가 크게 줄어든 것에 대해 다음과 같은 장치들이 사용됐기 때문이라고 말한다.
1) 프롬프트 식별
2) 패치 우선순위 지정
3) 고위험군 취약점 패치 및 위험 완화

오픈소스라는 지속적인 위험 요소

오픈소스를 사용하지 않는 기업은 단 하나도 없다고 해도 과언이 아닐 정도로 오픈소스는 우리의 일상에 광범위하게 퍼져 있다. 2019년, 시놉시스가 감사한 코드베이스의 70%가 오픈소스였다고 하는데, 이것이 지난 해에는 75%로까지 증가했고, 올해는 벌써 78%에 이르고 있다고 한다. 이제 모든 소프트웨어 개발 행위에 있어 오픈소스가 차지하는 비율을 무시할 수 없다.

그럼에도 오픈소스 소프트웨어의 질은 균일하지 않다. 어떤 오픈소스는 대단히 정교하고 꼼꼼하게 만들어져 있는가 하면, 어떤 오픈소스는 보안이라는 것에 대한 고려가 전혀 발견되지 않는다. 그럴 수밖에 없는 게 오픈소스를 개발한 주체가 조직이 아니라 개인인 경우가 많기 때문이다. 현재 23%의 오픈소스가 개발자 개인에 의해 유지 및 관리되고 있는데, 이 경우 조직이 관리하는 것보다 사후 서비스 질이 훨씬 낮아질 수밖에 없다.

오픈소스 사용자들 사이에서 최신화는 여전한 문제임이 이번 조사를 통해 드러나기도 했다. 88%의 코드베이스들이 최신 버전이 이미 나와 있음에도 오래된 버전인 채로 사용되고 있었기 때문이다. "업데이트된 버전이 있다는 걸 모르기 때문일 때가 태반입니다. 그렇기 때문에 소프트웨어 물자표(SBOM)라는 개념이 도입되어야 합니다.”  [기사 더보기]

[출처 : 보안뉴스(www.boannews.com)]

[기자 : 문가용 기자(globoan@boannews.com)]