인기 오픈소스 프로젝트를 분석한 결과 보안 취약점이 빠르게 늘어나고 있어 사용에 주의가 요구된다.
미국 지디넷은 보안전문 기업 리스크센스의 보고서 ‘오픈소스의 어두운 현실’을 8일(현지시간) 보고고했다.
보고서에 따르면 2015년에서 2020년 3월 사이에 인기 오픈소스 프로젝트에서 2천694가의 버그가 보고된 것으로 나타났다. 또한 상위 54개 오픈소스 프로젝트는 2018년 421개에서 2019년 968개로 1년간 2배 이상 증가했다.
리스크센스는 이번 보고서에서 기술 및 소프트웨어 커뮤니티에서 주로 사용하는 다른 인기 있는 오픈소스 프로젝트를 중심으로 조사했다. 젠킨스, 몽고DB, 엘라스틱서치, 깃랩, 스파크, 퍼펫 등이다.
리눅스, 워드프레스, 드루팔 등 가장 유명한 무료 도구는 예외로 지정했다. 해당 프로젝트는 워낙 규모가 크고 사용 범위가 넓어 지속적으로 모니터링 되며 발생하는 버그도 대부분 상당히 빨리 패치 되기 때문이다.
리스크센스는 분석한 상위 54개 프로젝트 중 젠킨스 자동화 서버와 MySQL 데이터베이스 서버가 가장 많은 취약점이 있는 것으로 나타났다. 분석결과 두 프로젝트는 각 646개, 624개의 취약점이 있었으며 무기화된 취약점은 둘 다 15개에 달했다.
리스크센스는 취약점이 많다고 해서 무기화된 취약점도 같은 비율로 많은 것은 아니라고 설명했다. 실제로 깃허브는 취약점이 306개로 세 번째로 많았지만 무기화된 취약점은 2개로 상대적으로 적었다.
보고서에 따르면 조사과정에서 발견된 주요 문제점 중 하나는 분석된 보안 버그가 국립 취약점 데이터베이스(NVD)에 보고되는데 시간이 많이 걸린다는 것이었다.
리스크센스는 54개 프로젝트에서 발견한 버그가 NVD에 적용되는데 평균 54일이 걸렸다고 밝혔다. 포스트그레sql 관련 버그의 경우 8개월이나 지연됐다.
사이버 보안 및 IT 소프트웨어 회사는 NVD를 사용하여 보안 경고를 생성하고 전송하기 때문에 보고 지연으로 인해 취약점 공격에 대응이 어려울 수 밖에 없다.
관련기사
- 오픈소스 품은 티맥스, 한국판 뉴딜 인프라 다진다2020.06.09
- MS가 리눅스 데스크톱 시대를 열었다2020.06.09
- 오픈스택, 21번째 버전 ‘우수리’ 공개2020.06.09
- 윈도로 되돌렸던 뮌헨, 다시 오픈소스로 간다2020.06.09
리스크센스는 취약점 보고가 지연되면서 해커 등이 이를 악용해 기업을 공격하는 등 보안 버그의 무기화를 초래하기도 한다고 지적했다.
이어서 “오픈소스 프로젝트가 역사적으로 빠른 속도로 취약점을 생성하고 있다”며 “거의 모든 상용 소프트웨어 프로젝트에 오픈소스가 사용되고 있는 만큼 IT업계 전체에서 오픈소스의 보안 취약점을 개선에 참여해야 한다”고 주장했다.