"보안취약한 오픈소스 앱…2차 랜섬웨어 공습 우려"

보안취약점 매일 10개씩 드러나
특히 핀테크 업종서 다수 발생
라이선스 문제로 인한 소송도 우려
사용했던 오픈소스 목록 구축 권장

[아시아경제 김동표 기자]전세계를 강타한 랜섬웨어 워너크라이(WannaCry) 사태로 보안의 중요성이 커지고 있다. 오픈소스로 만들어진 앱이 해커들의 다음 공격목표가 될 가능성이 높은 것으로 나타났다. 오픈소스란 소프트웨어 개발에 필요한 소스나 설계도를 누구나 열람할 수 있도록 공개하는 것을 말한다.18일 블랙덕소프트웨어에 따르면, 2016년 새롭게 발견된 오픈소스 컴포넌트 보안 취약점은 3623개로 하루에 10여개씩 새로운 보안취약점이 발견되고 있다.

이 업체는 최근 발표한 '2017 오픈소스 보안과 리스크 분석'에서 "오픈소스 컴포넌트를 사용하는 애플리케이션에서의 보안취약점 발견율은 67% 이상이다. 많은 경우 관련 보안취약점은 평균 4년 이상 공개적으로 노출돼 해커들의 공격대상이 되고 있다"고 밝혔다.

이어 "각 애플리케이션 당 발견된 보안취약점은 평균 27개로 집계됐으며, 이번 조사를 통해 발견된 보안취약점의 52.6%가 미국 국립표준기술연구소(NIST)에서 높은 위험도의 취약점으로 지정된 것으로 확인됐다"고 말했다.금융 서비스와 핀테크 산업이 애플리케이션당 보안취약점의 평균 개수가 가장 많은 산업으로 나타났다. 평균52.5개의 보안취약점이 발견됐다. 심각한 보안취약점을 포함하는 애플리케이션의 비율이 가장 높은 산업군은 리테일 및 이커머스 산업(83%)으로 보고됐다. 조사된 전체 애플리케이션 중 60%가 높은 위험도의 보안취약점을 포함하고 있었고, 이번에 조사된 사이버 보안 애플리케이션의 59%도 높은 위험도의 보안취약점을 포함하고 있는 것이 드러났다.

오픈소스의 경우 보안취약점뿐만 아니라 라이선스 충돌도 빈번하게 발생했다. 조사된 애플리케이션의 85% 이상이 라이선스 컴플라이언스를 벗어난 컴포넌트를 포함한 것으로 나타났다. 또한 애플리케이션의 53%가 알려지지 않은 라이선스를 포함하고 있는데, 이는 저작권자로부터 소프트웨어에 대한 사용, 수정 및 공유에 대한 허가를 받은 사람이 없다는 것을 의미하며, 잠재적인 소송위험을 갖고 있다.

국내에서는 오픈소스 라이선스 충돌방지를 위해 정보통신산업진흥원(NIPA)이 중소기업을 대상으로 연 3회 무료로 제공하는 공개소프트웨어 라이선스 검증서비스를 통해 블랙덕소프트웨어코리아의 오픈소스 컴플라이언스 검증서비스를 받을 수 있다.

블랙덕소프트웨어는 오픈소스 보안 및 관리 실행방안으로 ▲사용한 오픈소스의 전체 목록 구축 ▲기존의 알려진 보안취약점과 오픈소스 맵핑 ▲라이선스와 품질 리스크 식별 ▲오픈소스 리스크 정책 집행 ▲새로운 보안위협에 대한 모니터링을 권장했다.

김택완 블랙덕소프트웨어코리아 대표는 "보안취약점, 라이선스 위반 등 오픈소스를 둘러싼 이슈 관리를 위해서는 오픈소스 가시화 및 관리가 필수"라며 "이는 인력만으로 해결될 수 없는 영역이기 때문에 자동화된 툴을 통해 탐지해 애플리케이션을 보호하는 것이 기업 경쟁력을 강화하는 데에 큰 도움이 될 수 있다"고 말했다.

김동표 기자 letmein@asiae.co.kr