본문 바로가기

양날의 검 ‘오픈소스’…협업 개발 vs 취약한 보안

라이선스·보안관리 통한 적절한 통제 필요

양날의 검 ‘오픈소스’…협업 개발 vs 취약한 보안

[산업일보]
4차 산업혁명을 맞아 전 세계가 데이터 중심의 구조로 변화하면서 사회기반 시설과 서비스들이 ‘오픈소스 소프트웨어’에 의존하기 시작했다.

오픈소스(Open Source)란 소프트웨어의 ‘설계 지도’에 해당하는 소스 코드를 무료로 공개, 배포해 다수의 기술자가 협업해 단기간에 더 나은 소프트웨어를 개발할 수 있을 것이라는 기대에서 추진된 개념이다.

지난 6월 마이크로소프트가 대표적인 오픈소스 소프트웨어인 ‘깃허브(GitHub)’를 75억 달러(약 8조 원)에 인수한 소식은 오픈소스가 소프트웨어 혁신을 위한 중요한 도구이자 높은 부가가치를 창출할 가능성을 안고 있는 기술로 촉망받고 있다는 것을 보여준다.

KISA의 보고서 ‘오픈소스 보안 현황과 시사점’에 따르면, 오픈소스는 소스코드 공개를 통한 ‘빠른 개발지식 습득’, 무료 사용을 통한 ‘비용 절감 효과’, 사용자 요구에 따른 ‘맞춤화 서비스 제공’ 등을 특징으로 기업들 사이에서도 ‘소프트웨어의 혁명’으로서 사용 비중이 증가하는 추세다.

미국 전자설계자동화 SW업체인 시놉시스의 ‘오픈소스 보안과 리스크 분석 리포트 결과’에 따르면 현재 기업의 상용 애플리케이션의 96%에서 오픈소스가 발견됐으며, 오픈소스 코드의 비율 또한 57%에 해당한다.

양날의 검 ‘오픈소스’…협업 개발 vs 취약한 보안
그래픽 디자인=전윤성 디자이너

그러나 최근 오픈소스의 보안 취약점이 매년 급속도로 증가하며, 관리체계 없는 무분별한 오픈소스의 활용은 잠재적 기업 손실을 초래할 수 있다는 우려의 목소리가 나오고 있다.

2017년 NVD(National Vulnerability Database)에서 발견된 신규 오픈소스 보안 취약점은 약 4천800개로 이는 3천623개를 기록한 2016년에 비해 32% 증가한 수준이다.

오픈소스에 관한 인식과 노하우, 전문가 등 오픈소스 보안 관리에 대한 대응 체제도 현저히 부족한 상황이다. 오픈소스 관리자를 대상으로 진행한 스닉(Snyk)의 설문 조사에서 응답자의 44%가 오픈소스에 대한 보안 감사를 수행한 적이 없다고 응답했다.

KISA의 연구원은 “오픈소스는 상용 소프트웨어보다 더 안전하거나 덜 안전하다고 단정 지을 수 없다”라며 “오픈소스의 생태계와 특성을 잘 알고 적절한 관리와 통제를 한다면, 기업은 오픈소스를 이윤 창출 및 혁신의 도구로 활용해 경쟁력을 확보할 수 있지만, 올바른 관리체계가 구축되지 않고 무분별한 사용을 할 경우 보안공격에 쉽게 노출될 수 있는 양날의 검”이라고 말했다.

KISA의 연구원에 의하면 오픈소스의 무분별한 사용을 방지하기 위해서는 우선 기업에서 오픈소스에 대한 정책 및 프로세스와 사용에 대한 적절한 가이드와 교육 체계를 구축해야 한다. 또한 현재 수동관리로 이루어지는 오픈소스 관리체계가 다량의 보안 취약점을 지나칠 수 있다는 점에서 오픈소스 보안을 효과적으로 관리할 수 있도록 최적의 솔루션을 통한 ‘자동관리 시스템’의 구축도 필요하다.

한편 시놉시스에서는 ▲오픈소스 인벤토리 구축 ▲알려진 보안 취약점 매핑 ▲리스크 식별 ▲보안취약점 조치 이행 ▲새로운 보안취약점 모니터링의 5가지 오픈소스 보안 관리방안을 제시한 바 있다.

최수린 기자 sr.choi@kidd.co.kr
ad광고추천제품

0 / 1000

추천제품

1/9

가상화폐 시세

loader
Bitcoin logo icon

비트코인

%
Ethereum logo icon

이더리움

%
Ripple logo icon

리플

%
Provided by Bithumb logo icon