메인메뉴로 이동 본문으로 이동

lnb영역

센터소개

070-5154-6164 운영시간 : 09:00~18:00 (월~금) 이메일 : olccenter@kossa.kr

컨텐츠 내용

  1. 고객센터
  2. OSS뉴스

OSS뉴스

OSS뉴스 조회 페이지
개발자들의 사랑 오픈소스, 75%에서 보안 취약점 발견돼 관리자 / 2020.05.14

개발자들의 사랑 오픈소스, 75%에서 보안 취약점 발견돼


 

-애플리케이션 하나 당 평균 445개의 오픈소스 요소들 포함되어 있어
-무료이지만 라이선스 없는 거 아냐...개발자들의 커뮤니티 참여가 가장 좋은 방법

 

 

개발자들에게 있어 오픈소스가 필수 요소로 자리 잡은 지 오래다. 현대 애플리케이션을 구성하는 코드 중 평균 70%가 오픈소스 프로젝트에서 차용된 것이라고 한다. 코드 10줄을 무작위로 발췌하면, 7줄이 오픈소스를 출처로 하고 있다는 것이다. 이런 현상에 대해 소프트웨어 관리 전문 업체인 시놉시스(Synopsys)가 조사해 발표했다.

 

 

시놉시스의 보고서에 따르면 프로그램 하나 당 평균 445개의 오픈소스 요소들을 포함하고 있다고 한다. 이는 작년 조사 결과에 비해 49% 증가한 수치다. 문제는 91%의 애플리케이션들에서 지원 종료되거나 유지 보수가 전혀 되지 않는, 오래된 오픈소스 요소들이 최소 한 개 이상 발견되고 있다는 것이다.

오픈소스의 인기가 갈수록 높아지고 있는데, 그것과 비례하여 위험성도 높아지고 있다는 것이 이번 보고서가 지적하는 내용이다. 시놉시스의 사이버 보안 센터장인 팀 맥키(Tim Mackey)는 “개발 기능과 보안 기능이 아직도 10만 광년 동떨어져 있기 때문에 나타나는 현상”이라고 분석한다. “오픈소스 사용 정책을 마련하는 사람과, 실제 코딩을 하는 사람이 다르고, 서로의 입장을 전혀 이해하지 못하고 있어요. 그러다 보니 코더들은 정책을 교묘히 비껴가면서 개발을 하죠. 그런 걸 은근히 묵인해주는 게 현재 앞 다투어 앱을 내놓으려는 기업들의 행태이기도 하고요.”

사태가 이렇다보니 산업을 불문하고 애플리케이션 개발을 하는 기업들은 오픈소스 보안 강화를 위해 여러 가지 장치를 도입하고 있는 분위기다. 시장 조사 전문 업체인 포레스터 리서치(Forrester Research)의 수석 분석가인 샌디 카리엘리(Sandy Carielli)는 “오픈소스 요소들을 추적하고, 취약점 현황을 알려주는 도구들이 시중에 존재한다”며 “개발자들에게 이러한 도구들을 쥐어주는 것이 가장 실질적인 도움이 된다”고 주장한다.

“주구장창 개발자 대상 보안 교육을 아무리 해봐야 실효를 거두지 못합니다. 결국 개발자들에게는 개발 속도가 생명이기 때문입니다. 게다가 그게 전혀 틀린 가치관인 것도 아니죠. 그들이 중요시 여기는 것을 존중해주면서도 보안을 강화할 방법을 모색하는 것이 현명합니다. 그러려면 개발 공정에 잘 어울리는 도구들을 제공하는 것이 좋고요. 정책과 교육으로 사람 자체를 바꾸려는 건 시간 투자를 많이 해야만 성과를 거둘 수 있습니다.”

오픈소스를 가장 많이 활용하는 산업은 소프트웨어 인프라 분야와 인터넷 기술 분야였다(83%). 가장 적게 활용하는 건 원거리 통신 및 무선 통신 분야였다(46%). 그 외 제조업, 산업 통제 시스템 분야, 로보틱스 등에서는 절반 정도 비율로 오픈소스가 활용되고 있었다. 가장 인기가 높은 오픈소스는 제이쿼리(jQuery), 붓스트랩(Bootstrap), 폰트 오섬(Font Awesome), 로다시(Lodash)인 것으로 나타났다.

맥키는 “인기 높은 오픈소스 요소들은, 너무 당연하게 사용되다보니 개발자들이 오픈소스라는 자각을 하지 못할 때가 많다”고 말하기도 한다. “많은 경우, 무료로 다운로드 및 사용이 가능하다는 건, 무조건 쓰고 봐야 한다는 뜻으로 해석됩니다. 개발자들만의 문제는 아니죠. 무조건 쓰고 본다는 건, 보안 점검 과정을 하나하나 다 거치지 않을 가능성이 높다는 것이고요.”

무료라는 건 유료 소프트웨어처럼 개발사가 업데이트를 정기적으로 내놓지 않는다는 뜻도 된다. 실제 시놉시스의 연구 결과 중 주목해야 할 또 다른 지점은 오픈소스 요소들의 3/4가 이미 공개된 취약점을 보유하고 있다는 것이다. 심지어 그 중 절반은 ‘치명적인 위험도’를 가진 것으로 분석됐다.

의외로 오픈소스 요소에서 라이선스 문제도 제법 자주 발생하는 편이다. 오픈소스, 즉 무료이기 때문에 아무렇게나 마구 사용해도 된다고 여기는 경우가 많은데, 오픈소스에도 라이선스라는 개념이 존재한다는 게 시놉시스의 설명이다. “이건 딱 떨어지는 정답이 없어서 더 어렵습니다. 개발자가 자주 사용하는 오픈소스 요소가 있다면, 그 요소를 중심으로 이뤄진 개발자 커뮤니티에 들어가 매일처럼 최신 소식을 접하는 게 최선책입니다.”

한편 시놉시스는 이번 보고서 작성을 위해 총 1253개의 애플리케이션들과 2만여 개의 오픈소스 요소들을 감사 및 분석했다고 밝혔다.

 

 

출처 : 보안뉴스 (https://www.boannews.com/media/view.asp?idx=88161)
read 페이지 바
이전 글

[인터뷰] "마크 속 청와대, 이렇게 만들었습니다"

  		2020.05.18
다음 글

‘구름’ 위의 전쟁 “클라우드 인재 양성, 논문 중심 아닌 참여·개발 중심”

  		2020.05.12