[취약점 점검·모의해킹③] 오픈소스 취약점 자동 진단해야
상태바
[취약점 점검·모의해킹③] 오픈소스 취약점 자동 진단해야
  • 김선애 기자
  • 승인 2017.08.11 10:32
  • 댓글 0
이 기사를 공유합니다

오픈소스 보안 취약점 하루 10개씩 발견…클라우드 확장되며 오픈소스 보안 위협 심각

해커 잡는 해커, ‘화이트해커’가 몸값을 높이고 있다. 허를 찌르는 타깃 공격이 연이어 발생하면서, 관리되지 않은 취약점과 공격 가능성을 낮춰야 한다는 수요가 높아지고 있다. 더불어 규제준수만을 위한 모의해킹이 아니라, 실제 공격을 막을 수 있는 상시적인 취약점 점검이 전사 범위에서 진행돼야 한다는 주장도 제기된다. 공격자 관점에서 취약점을 제거하고 공격 표면을 줄여나갈 수 있는 방법이 마련돼야 한다.<편집자>

하트블리드 취약점 패치 않은 서버, 18만대

오픈소스 소프트웨어 취약점도 신속하게 해결해야 할 문제로 꼽힌다. 오픈소스를 활용한 랜섬웨어도 이미 공개됐다. 랜섬웨어 공격 방식과 위험도 등을 가르치기 위해 오픈소스로 개발된 코드를 악용한 ‘매직(Magic)’ 랜섬웨어가 지난해 발견된 바 있다.

공개된 지 오래된 오픈소스 취약점도 패치되지 않고 방치되는 사례가 많으며, 클라우드에서 가장 많이 사용하는 리눅스 OS 역시 취약점 관리가 제대로 안되고 있는 실정이다. 전 세계 웹을 서치하는 검색엔진 쇼단(Shodan)이 1월 발표한 보고서에 따르면 2014년 공개된 하트블리드는 아직도 전 세계 18만대 이상의 서버에서 악용될 수 있는 취약점이었으며, 국내 통신 3사도 하트블리드 취약점을 방치하고 있는 것으로 나타났다.

클라우드 인프라에 가장 많이 사용되는 리눅스 취약점도 심각한 문제다. 가트너에 따르면 리눅스의 성장률이 13.5%에 달하고 있으며, AWS EC2의 워크로드 중 90%가 리눅스 변형 버전을 실행하고 있고, 퍼블릭 클라우드 환경에서도 널리 사용되고 있다.

트렌드마이크로는 보안블로그를 통해 “서버들이 기업 경계를 넘어 클라우드의 영역으로 이동하고 있으며, 이러한 워크로드에는 리눅스를 기반으로 하는 애플리케이션도 포함돼 있기 때문에 리눅스를 단순히 OS로만 생각해서는 안된다”며 “리눅스 서버를 보호하기 위해 안티바이러스를 배포하는 것만으로 불충분하며, 애플리케이션 컨트롤, 무결성 모니터링, 로그 모니터링 등이 필요하다”고 설명했다.

블랙덕소프트웨어가 5월 발표한 보고서 ‘2017 OSSRA(Open Source Security & Risk Analysis)’에 따르면 96%의 애플리케이션이 오픈소스를 사용하고 있으며, 67%는 취약점이 있는 오픈소스를 사용하고 있다. 금융산업에서는 앱 당 52개의 취약점을 보유하고 있으며, 60%는 고위험 취약점을 내포하고 있다. 리테일과 이커머스 앱은 무료 83%가 높은 위험의 보안 취약점이 있다.

김병선 블랙덕소프트웨어코리아 상무는 “거의 모든 산업군의 애플리케이션이 오픈소스 컴포넌트를 사용하고 있으며, 오픈소스 컴포넌트의 보안 취약점은 하루 10여개씩 새롭게 발생할 만큼 많기 때문에 기업/기관이 취약점을 발견하고 조치하지 못한다. 오픈소스 취약점이 발표된다 해도, 어느 서비스, 어느 애플리케이션의 어떤 모듈에서 사용하고 있는지 파악할 수 없어, 알려진 보안 취약점을 이용한 공격이 끊이지 않고 있다”고 말했다.

그는 “오픈소스를 수정해서 사용하면 해당 오픈소스 버전의 패치·버전 업데이트를 받을 수 없기 때문에 수정하지 않고 그대로 사용하게 된다. 그래서 오픈소스 보안 취약점은 관리의 사각지대에 있을 수 밖에 없다. 어떤 기업은 10년 전 발견된 보안취약점이 있는 오픈소스 컴포넌트를 사용하고 있는데, 10년 동안 어떤 공격을 받았는지조차 파악하지 못하고 있다”고 설명했다.

블랙덕소프트웨어의 오픈소스 보안 취약점을 파악하는 ‘블랙덕 허브’는 기업/기관이 사용하는 모든 애플리케이션 중 오픈소스와 취약점을 찾아내고 패치하는 방법을 알려주는 솔루션이다. 과거에 사용한 모든 오픈소스를 찾아내며, 검출한 취약점의 위험 정도를 파악할 수 있도록 이와 관련된 전문가의 분석보고서, 기사 등을 찾아 알려준다. 클라우드 개발과 운영을 위해 사용되는 ‘도커’와 같은 컨테이너에서도 블랙덕 허브를 이용해 취약점을 관리할 수 있다.

김병선 상무는 “취약점 탐지 솔루션은 오탐·미탐이 많을 때 신뢰도가 떨어져 오히려 관리자들이 취약점 관리에 소홀하게 돼 더 위험한 상황에 몰리게 된다. 블랙덕소프트웨어는 20여년간 오픈소스 관리 기술만을 연구해 온 전문기업으로, 200만개의 취약점 DB와 위험도 평가를 제공한다. 개발조직과 보안조직의 갈등을 줄이면서 안전하게 소프트웨어를 개발·운영할 수 있도록 지원한다”고 밝혔다.

▲블랙덕소프트웨어 ‘블랙덕허브’ 프로세스


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.