UPDATED. 2020-08-14 16:24 (금)
[초점] "기업 앱 99% 오픈소스 사용......코드베이스 75%, 하나 이상 공개된 취약성 가져"
[초점] "기업 앱 99% 오픈소스 사용......코드베이스 75%, 하나 이상 공개된 취약성 가져"
  • 장현철 기자
  • 승인 2020.07.20 17:07
  • 댓글 0
이 기사를 공유합니다

시높시스, ‘2020 오픈소스 보안과 리스크 분석’ 보고서 발간
오픈소스 취약점 발견 시점부터 NVD 공개되기까지 27일 소요
오픈소스 라이선스 충돌 67%…인터넷·모바일 앱 산업군 가장 많아

기업이 사용하는 애플리케이션의 99%가 오픈소스 컴포넌트를 포함하고 있으며, 이 중 취약점이 있는 코드를 사용한 것이 75%에 이른다.

이 중에서도 고위험 취약점을 가진 코드 베이스가 49%에 이르는 것으로 나타났다

시높시스 공식채널인 케이엠에스테크놀로지는 이 같은 내용을 골자로 전세계에서 사용되는 17개 산업분야 애플리케이션의 오픈소스 사용 현황을 분석한 ‘2020 오픈소스 보안과 리스크 분석(OSSRA)’ 연례 보고서를 20일 발표했다.

시높시스가 지난 2015년 이후 올해로 5번째로 발간한 ‘2020 오픈소스 보안과 리스크 분석’ 연례 보고서는 글로벌 1위 OSS 라이선스 관리 솔루션인 ‘블랙덕 오딧 서비스(Black Duck Audit Services)’ 팀이 진행한 것으로, 인터넷/모바일 앱, 제조/공업/로보틱스, 헬스케어/건강 기술/생명 과학, 인터넷/소프트웨어 인프라스트럭처를 비롯한 총 17개 산업 분야의 1,253개 애플리케이션에 대해 오픈소스 보안 및 라이선스 관리 현황을 분석한 내용이 담겨 있다.

시높시스의 ‘2020 오픈소스 보안과 리스크 분석’ 보고서에 따르면 2019년에 감사한 코드베이스 중 99%가 오픈 소스를 포함하고 있었다. 2019년 감사 대상 코드베이스에서 평균 445개의 오픈 소스 컴포넌트를 식별했으며, 이는 2018년의 298개 대비 상당히 증가한 숫자다.

오픈 소스를 구성하는 코드베이스의 비율 또한 동일 기간에 지속적으로 급격히 증가했다.

실제로 17개 산업 군 중 9개 산업 군에서의 모든 코드베이스가 최소 하나 이상의 오픈 소스 컴포넌트를 포함하고 있었으며, 최대 70%까지 오픈소스로 구성돼 있었다.

전체 코드베이스 중 오픈 소스 컴포넌트를 포함하지 않은 코드베이스의 비율은 단지 1.2%에 그쳤으며, 파일 수로는 1,000개도 되지 않았다.

이것은 오픈소스가 사유 소프트웨어나 상용 소프트웨어를 대체했음을 시사한다.

첫 번째 보고서를 발간한 2015년 당시에는 감사 대상 코드베이스 중 36%가 오픈 소스였던 것에서, 2019년에는 70%로 기준 2배가 됐다.

- 가장 많이 사용된 오픈 소스는 ‘jQuery’

조사대상 전체 17개 산업군의 코드베이스에서 124개 오픈 소스 컴포넌트가 공통으로 사용됐음을 확인했다.

가장 많이 사용된(해당 컴포넌트를 포함한 코드베이스 비율 기준) 오픈 소스 컴포넌트 5개는 jQuery(55%, HTML 단순화를 위해 설계된 자바스크립트(JavaScript) 라이브러리), Bootstrap(40%, 반응성, 모바일 중심 프론트엔드 웹 개발을 위한 CSS 프레임워크), Font Awesome(31%, 폰트 및 아이콘 도구킷), Lodash(30%, 공통 프로그래밍 태스크를 위한 유틸리티 기능들을 제공하는 자바스크립트 라이브러리), jQuery UI(29%, GUI 위젯, 동적인 시각 효과 및 테마 집합) 등이다.

- 공개된 오픈소스 취약성 수치 증가, 잠재적 위험 노출

보고서에 따르면 2019년 감사한 코드베이스 중 75%가 최소 하나 이상의 공개된 취약성을 가지고 있었다. 해당 비율은 2017년 78%, 2018년 60%였던것에 비해 증가한 수치다,

코드베이스당 평균 82개의 취약성을 가지고 있는 것으로 식별되었다. 또한 고 위험 취약성 비율도 2018년의 40%에서 2019년에는 49%로 증가했다.

- 오픈소스 저작권 침해 여부 확인을 통한 라이선스 관리 필요

보고서에 따르면 가장 널리 유명한 라이선스 20개가 실제 사용되는 오픈 소스의 약 98%에 이르는 것으로 나타났다.

2019년 감사된 코드베이스 중 73%는 오픈소스 라이선스 충돌이 일어나거나, 라이선스를 갖지 않은 컴포넌트를 포함했다.

감사된 코드베이스 중 33%에서 저자들로부터 라이선스 혹은 사용 규약에 대한 명확한 보장을 받지 않은 오픈 소스를 발견했다. 또한 대상 코드베이스 중 라이선스 충돌이 발생하는 코드베이스 비율은 67%에 달했다.

- 오픈소스의 취약점 노출을 막고, 기능 강화 위해 최신 버전으로 업데이트해야

보고서에 따르면 2019년 감사된 코드베이스 중 4년 이상 된 컴포넌트를 가진 코드베이스 비율은 82%로 나타났다. 88%의 컴포넌트에서는 최근 2년 동안 개발 활동이 없었다.

이 컴포넌트들은 취약성과 취약점 악용의 높은 위험에 노출되어 있다. 보안상의 리스크는 차치하더라도, 너무 오래된 버전을 사용하면 해당 컴포넌트를 단지 최신 버전으로 업데이트하는 것만으로도 핵심 기능이 사라지는 것과 같이 원치 않는 기능 변화를 야기할 수 있다.

전소현 시높시스 Software Integrity Group 부장은 “이제 모든 애플리케이션에는 오픈소스 컴포넌트가 포함돼 있어 보안, 라이선스 및 코드 품질 이슈를 수반한다. 오픈 소스의 품질과 보안, 라이선스 위험을 평가하고 완화하며 지속적으로 취약점, 업그레이드 및 전체적인 상태를 모니터링할 수 있는 절차와 전략을 마련해야 한다”며, “고객들이 자사의 블랙덕(Black Duck)을 활용해 오픈소스의 보안 취약점과 라이선스 리스크를 빠르게 확인하여 개선할 수 있도록 지원할 것이다”고 밝혔다.

KMS는 글로벌 솔루션 기업인 시높시스의 OSS 라이선스 관리 솔루션인 ‘블랙덕(Black Duck)’을 국내에 공급하고 있다.

‘블랙덕(Black Duck)’은 200만개 이상의 오픈소스 프로젝트 데이터 베이스를 보유한 전 세계 및 국내시장 점유율 압도적 1위인 오픈소스 소프트웨어(OSS) 분석 솔루션이다. 블랙덕은 10만여 보안 취약점 및 2,600여 오픈소스 라이선스 분석을 수행했다.

 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울시 영등포구 여의서로 43 (여의도동 한서리버파크 빌딩) 916호
  • 대표전화 : 02-780-8101~2
  • 팩스 : 02-780-8103
  • 청소년보호책임자 : 윤 원창
  • 법인명 : 테크데일리 주식회사
  • 제호 : 테크데일리(TechDaily)
  • 등록번호 : 서울 아 05225
  • 등록일 : 2018-06-01
  • 발행일 : 2018-06-01
  • 발행인 : 문 창남
  • 편집인 : 윤 원창
  • 테크데일리(TechDaily) 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2020 테크데일리(TechDaily). All rights reserved. mail to news@techdaily.co.kr
ND소프트