10년 이상된 취약점 14% 달해···코드 91%, 10버전 이상 뒤처진 컴포넌트 포함
코드 절반, 2년간 개발활동 없는 구성요소 포함···코드 개선·보안문제 해결 못해
[데이터넷] 소프트웨어 코드의 84%에서 알려진 오픈소스 취약점이 있으며, 이 중 74%는 고위험 취약점이 포함돼 있었다. 이는 시높시스의 ‘2024 오픈소스 보안과 리스크 분석(OSSRA)’ 보고서에 따른 것으로, 시높시스의 이전 조사에서는 48%에 고위험 취약점이 발견돼 1년 동안 고위험 취약점이 1.5배 늘어난 것이다. 또한 10년 이상 오래된 취약점이 포함된 코드베이스가 무려 14%에 달해 오래된 취약점으로 인한 위험이 매우 높은 것으로 나타났다.
53% 라이선스 충돌···2년간 개발활동 없는 코드 49%
시높시스는 지난 한 해 동안 전 세계 17개 산업 1067개 상용 코드베이스를 분석한 결과, 전체 코드베이스의 96%에 오픈소스가 포함돼 있었으며, 애플리케이션에 포함된 오픈소스 구성요소는 평균 526개, 그 중 53%에서는 라이선스 충돌이 발견됐다고 밝혔다.
전년대비 고위험 취약점이 크게 늘어난 이유로 보고서는 ‘경기침체와 그에 따른 해고’를 들었다. 취약점을 찾고 패치하는데 사용할 수 있는 리소스가 줄었다는 이유다. 또한 코드베이스의 91%는 사용 가능한 최신 버전의 컴포넌트보다 10버전 이상 뒤처진 컴포넌트를 포함하고 있는 것으로 나타나 취약한 코드로 인한 공격 위협이 매우 높은 것으로 분석됐다.
코드베이스의 49%에는 지난 24개월 동안 개발 활동이 없었던 구성 요소가 포함돼 있었다. 프로젝트가 더 이상 유지 관리되지 않는 경우, 특히 소규모 프로젝트의 경우 기능 업그레이드, 코드 개선, 발견된 보안 문제가 해결되지 않은 것으로 나타났다.
AI 기반 코딩도구로 라이선스 문제 심각
고위험 취약점이 포함된 코드베이스를 가장 많이 사용하는 산업군은 컴퓨터 하드웨어 및 반도체 부문과 관련된 분야로, 이 분야 소프트웨어의 88%에 심각도 점수 7점 이상의 고위험 취약점이 포함돼 있었다. 제조, 로봇 분야는 87%, 리테일과 이커머스가 84%로 고위험 취약점이 있는 코드베이스를 사용하고 있었다.
라이선스 위배로 인한 위협도 심각하다. 라이선스를 준수하지 않는 코드 하나만으로도 법적 문제를 안게 되며, 수익성 있는 지적재산에 피해를 입거나 수정에 많은 시간이 소요돼 제품 출시가 지연되는 등의 문제를 겪게 될 수 있다.
특히 소스코드에 복사해 붙여넣은 코드 스니펫으로 인한 문제가 다수 발견된다. 스니핑된 코드의 라이선스를 확인하지 않고 사용했다가 법적 문제를 겪을 수 있다. 보고서가 조사한 코드베이스의 31%는 식별 가능한 라이선스가 없거나 맞춤형 라이선스가 적용된 코드를 사용하고 있어 점검이 시급하다.
AI 기반 코딩 도구로 인해 문제의 심각성이 더해진다. 지난해 깃허브 코파일럿이 저작권법과 소프트웨어 라이선스 요건을 위반했다는 이유로 깃허브, 마이크로소프트, 오픈AI가 소송을 당했다. 깃허브 코파일럿은 개발자가 코딩할 때 자동 완성 제안을 제공하는 서비스로, 저작권을 확인하지 않고 AI 제안대로 코딩했다가 피해를 입을 수 있다.
“오늘 안전한 코드, 내일도 안전하다고 할 수 없어”
보고서는 이러한 위협에 대응하기 위해서는 반드시 코드를 적용하기 전에 취약점을 확인하는 것은 물론이고, 운영중인 코드의 취약점도 확인해야 한다고 설명한다. 보고서는 “오늘은 확인된 취약점이 없다고 해서 내일도 안전하다고 믿을 수 없다. 공격에 사용되는 악의적인 패키지가 취약한 것으로 분류되지 않을 수 있기 때문에 구현하기 전에 컴포넌트의 상태와 출처에 주의를 기울어야 한다”고 설명했다.
취약점은 공통 취약점 및 노출(CVE), 공통 취약점 열거(CWE), 국가 취약성 데이터베이스(NVD) 등을 참고할 수 있지만, 이러한 취약점 목록은 발견되어 목록에 등재되기까지 시간이 걸리기 때문에 즉각적인 보안 조치가 이뤄지지 못한다. 최초 취약점이 발견되고 NVD에 등록되기까지 평균 한달 정도의 시간이 발생하는데, 이 때 공격자들이 제로데이 취약점 공격을 집중적으로 벌인다.
취약점을 이용한 공급망 공격에 대응하기 위해서는 공식 CVE, CWE, NVD에만 의존하기보다는 소프트웨어 보안 기업이나 공급사가 제공하는 취약점 정보를 함께 이용하는 것이 좋다. 보고서는 시높시스의 소프트웨어 구성 분석(SCA) 솔루션 ‘블랙덕(Black Duck)’에서 제공하는 자체 취약점 DB ‘BDSA’를 활용할 것을 권고했다. 블랙덕은 가장 많은 오픈소스 코드를 분석해 정확한 취약점 목록을 제공한다.
보고서는 또한 소프트웨어 자재 명세(SBOM)를 활용해 코드를 정확하게 관리해야 한다고 조언했다. SBOM은 소프트웨어 투명성을 높이고 구성요소의 출처를 문서화해 코드 취약점을 식별하고 해결을 지원한다.
미국은 정부·공공기관에 공급하는 소프트웨어에 SBOM 제출을 의무화하고 있으며, 국립표준기술연구소(NIST)의 보안 소프트웨어 개발 프레임워크(SSDF) 준수 증명 제출을 요구하고 있다. 시높스시는 이를 지원하는 SSDF 준비도 평가와 SBOM을 제공해 컴플라이언스도 만족한다고 보고서는 설명했다.
보고서는 “오픈소스는 팀에서 개발하는 코드와 동일한 보안 점검과 우선순위로 다뤄야 한다. 또한 자동화된 SCA를 사용해 코드 품질과 라이선스를 소프트웨어 개발 라이프사이클(SDLC) 초기에 발견하고 조치해야 한다”며 “코드에 대한 포괄적인 가시성을 확보하고, 사전 예방적인 위생 관행을 유지하지 않으면 소프트웨어 악용 공격에 노출될 수 있다”고 경고했다.
