실시간 뉴스



'양날의 검' 오픈소스, 시높시스 "취약점‧라이선스‧버전 관리해야"


코드베이스 88%는 2년 이상 방치된 오픈소스 포함돼

[아이뉴스24 김혜경 기자] "전 세계적으로 오픈소스를 사용하는 프로젝트 비율은 97%, 전체 코드 중 오픈소스가 차지하는 비중은 78%로 나타났다. 오픈소스 이용은 늘어나고 있지만 관리는 미흡한 실정이다. 2년 이상 패치를 하지 않은 오픈소스 포함 비율은 88%나 됐다. 오픈소스를 효율적으로 이용하기 위해서는 취약점과 라이선스, 버전 관리가 동시에 이뤄져야 한다."

시높시스코리아는 30일 웨비나를 열고 '2022 오픈소스 보안과 리스크 분석(OSSRA)' 연례 보고서를 공개했다. [사진=시높시스]
시높시스코리아는 30일 웨비나를 열고 '2022 오픈소스 보안과 리스크 분석(OSSRA)' 연례 보고서를 공개했다. [사진=시높시스]

30일 열린 시높시스코리아 웨비나에서 제병주 부장은 '2022 오픈소스 보안과 리스크 분석(OSSRA)' 연례 보고서를 공개하면서 이 같이 전했다. 해당 보고서에는 시높시스가 '블랙덕 오딧 서비스(Black Duck Audit Services)'를 통해 17개 산업 분야 2천400여개의 커머셜 코드 베이스를 대상으로 실시한 분석 결과가 포함됐다.

보고서에 따르면 조사 대상 코드베이스 2천409개 중 97%에 오픈소스가 포함됐다. 알려진 취약점을 내포한 오픈소스 비율은 81%로 집계됐으며, 이중 고위험 취약점이 포함된 오픈소스는 49%로 조사됐다.

제 부장은 "특별한 경우를 제외하고 대부분 프로젝트에서 오픈소스를 사용하고 있는 셈"이라며 "특히 컴퓨터·하드웨어와 반도체, 사이버보안, 에너지 기술, 사물인터넷(IoT) 분야는 오픈소스 비중이 100%로 나타났다"고 설명했다.

문제는 유지보수가 제대로 이뤄지지 않고 있다는 점이다. 제 부장은 "오픈소스 코드의 최신 인벤토리를 관리하지 않을 경우 오래된 구성요소가 공격에 노출될 수 있다"고 말했다.

최신 버전이 아닌 오픈소스가 포함된 코드베이스는 88%로 조사됐다. 4년 이상 개발되지 않은 오픈소스 사용 비율도 85%나 됐다. 반면 1년 이내 출시됐거나 최신 버전을 사용한 프로젝트는 16%에 불과했다.

오픈소스 취약점을 가진 산업별 코드베이스 비율. [사진=시높시스]
오픈소스 취약점을 가진 산업별 코드베이스 비율. [사진=시높시스]

다만 오픈소스 취약점과 라이선스 충돌은 전반적으로 감소 추세를 보였다. 고위험 취약점을 포함한 코드베이스 비중은 2020년 60%에서 지난해 49%로 줄었다. 또 코드베이스의 53%는 라이선스 충돌 이슈가 포함됐지만 2020년(65%) 대비 대폭 감소했다.

제 부장은 "오픈소스 사용량이 급증하면서 국외에서는 취약점 악용으로 인한 자산 탈취 문제를 심각하게 바라보고 있다"며 "반면 아직까지 국내에서는 취약점보다 라이선스 충돌로 발생하는 문제에 좀 더 주목하는 분위기"라고 말했다.

/김혜경 기자(hkmind9000@inews24.com)






alert

댓글 쓰기 제목 '양날의 검' 오픈소스, 시높시스 "취약점‧라이선스‧버전 관리해야"

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스