구글플레이의 분류별 상위 10개 인기 앱 330개 중 32%인 105개에서 보안 취약점이 발견됐다는 조사 결과가 나왔다. 미국 비영리단체 '미국소비자협회(ACI)'의 안드로이드 기반 애플리케이션 취약성 보고서 내용이다.
인사이너리(대표 강태진)는 ACI가 '안드로이드 기반 애플리케이션 취약성 보고서'와 '가정 및 사무실용 라우터 펌웨어 취약성 보고서'를 작성하면서 인사이너리의 오픈소스 소프트웨어(SW) 보안취약점 분석툴 '클래리티(Clarity)'를 활용했다고 11일 밝혔다.
인사이너리는 현재 유통되는 SW의 90% 이상은 어떤 형태로든 오픈소스 기반 코드를 포함하고 있다고 지적했다. 비용절감, 생산성 향상 등 장점에 따라 오픈소스가 널리 사용되고 있지만 잠재적 리스크도 따른다고 덧붙였다.
오픈소스가 포함된 펌웨어, 프로그램은 바이너리 파일로 고객에 배포되거나 기업간 공유된다. 기존 솔루션으로 바이너리가 어떤 오픈소스를 써서 만들어졌는지 파악하기 어렵다. 보안취약점을 사전 파악하고 라이선스를 관리해야 하지만 그게 거의 불가능했다.
인사이너리의 클래리티는 임베디드 펌웨어 또는 모든 바이너리의 공개된 보안취약점을 검사하고 라이선스 문제를 검증하는 솔루션이다. 소스코드나 리버스엔지니어링 없이 바이너리코드에 사용된 오픈소스 컴포넌트를 검출할 수 있다.
ACI는 지난 8월초 클래리티를 활용해 구글플레이 안드로이드 앱 APK 파일 330개를 검사했다. 당시 33가지 분류별 상위 10개 인기 앱의 검사 결과를 '인기 있는 앱은 얼마나 안전한가? 치명적인 취약성에 소비자가 관심을 기울여야 할 이유에 대한 연구 보고서'에 담았다.
보고서에 따르면 330개 앱 중 32% 비중을 차지하는 105개 앱에 보안 취약점이 있었다. 식별된 앱 당 평균 19개 취약점이 존재했다. 전체 1천978건의 취약점이 확인됐다. 취약점 43%가 고위험(High-risk) 또는 치명적(Critical) 단계로 진단될만큼 심각도가 높았다.
인사이너리는 보고서를 인용해 "인스타그램, 스냅챗, 맥도널드 등을 포함해 보편적으로 쓰는 은행, 티켓, 스포츠, 여행 앱이 알려진 취약점에 대한 보안 패치를 적용받지 않은 경우 기업과 소비자에 심각한 피해를 끼칠 수 있다"고 설명했다.
인사이너리에 따르면 ACI는 이 보고서를 지난 9월 12일 미국 상원 국회의사당 회의실에서 ACI 주관 전문가 토론회 '데이터보안과 온라인프라이버시'에서 발표했다. 오픈소스 취약점이 소비자 데이터를 해킹에 노출시킬 가능성을 높인다는 경각심을 주기 위한 시도였다.
ACI는 클래리티를 활용해 'IoT 디바이스의 보안: 당신의 와이파이 라우터는 얼마나 안전한가?' 보고서도 내놨다. 와이파이 라우터 제조사 대다수가 알려진 취약점에 대응해 펌웨어 업데이트를 하지 않고 있어 데이터 유출 및 개인정보 도난 위험에 처할 수 있다고 지적했다.
보고서에 따르면 가정 및 사무실에서 쓰는 라우터 83%가 잠재적 사이버 공격에 취약했다. 라우터 샘플 186대에서 3만2천3건의 취약점이 발견됐다. 대당 평균 172개 취약점을 갖고 있었다. 발견된 취약점 중 28%가 고위험 또는 치명적 등급으로 분류됐다.
인사이너리는 앞서 지난해 7월 국내에서 판매되는 시장점유율 상위 4개 업체 제품 10가지 IP공유기 모델의 펌웨어 바이너리의 취약점을 찾았다. 분석된 펌웨어에 다수 오픈소스 취약점이 있었다. 대부분 모델에서 위험도 '높음' 보안취약점이 10개 이상 발견됐다고 지적했다.
강태진 인사이너리 대표는 "오픈소스를 활용한 많은 SW의 취약점이 관리되지 않고 있다"며 "취약점으로 기업, 소비자, 정부는 해커의 공격에 노출되고 주요 데이터와 소비자 정보가 유출될 위험이 있기에 다양한 미리 안전한 오픈소스를 쓰고 있는지 파악해야 한다"고 말했다.
인사이너리는 2016년 설립된 벤처 기업이다. 바이너리 레벨 오픈소스SW 보안 및 컴플라이언스 기술 스타트업이다. 클래리티는 클라우드 또는 온프레미스 형태로 오픈소스SW를 포함한 바이너리 파일을 스캔해 보안취약점과 라이선스 컴플라이언스 문제를 해결한다.
인사이너리 측 설명에 따르면 소프트웨어 개발사와 리셀러, 시스템 통합 업체와 소프트웨어 배포를 관리하는 매니지드서비스제공업체는 클래리티를 활용해 보안취약점과 라이선스 컴플라이언스 관련 사전 예방 조치를 취할 수 있다.
인사이너리의 클래리티는 바이너리에서 일종의 오픈소스 지문(fingerprint)을 추출해 오픈소스 저장소에 관리되는 컴포넌트로부터 수집한 지문과 대조한다. 체크섬이나 해시 기반 바이너리 스캐너와 달리 상이한 CPU 아키텍처와 OS 플랫폼별 별도 대조가 불필요하다.
관련기사
- "오픈소스 보안 취약점 발견도 블록체인으로"2018.10.11
- 시큐어플래닛, 탈중앙 오픈소스 보안취약점DB 만든다2018.10.11
- 한글WP 만든 강태진의 30년 삶을 들어보니…2018.10.11
- "한국 아파치 스트럿츠 취약점 관리상황 심각"2018.10.11
클래리티의 지문 대조를 통해 바이너리에 사용된 오픈소스 컴포넌트와 버전이 검출된다. 이를 미국 정부기관 취약점 데이터베이스 NVD와 리스크베이스드시큐리티가 제공하는 취약점 데이터베이스 VulnDB 등에 등재된 18만건 이상의 알려진 보안취약점과 대조한다.
인사이너리는 클래리티가 바이너리의 '퍼지 매칭' 방법으로 오탐을 줄여 정확도를 높여 주고 젠킨스(Jenkins)같은 툴 기반의 빌드 및 배포 자동화 시스템 구축을 지원하는 기업용 기능을 제공한다고 강조했다.