시높시스는 전세계 오픈소스 사용 현황을 분석한 '2022 오픈소스 보안과 리스크 분석(OSSRA)' 연례 보고서를 발표했다고 1일 밝혔다.
올해로 7번째 발간된 이번 보고서에는 글로벌 오픈소스 소프트웨어(OSS) 라이선스 관리 솔루션 '블랙덕 오딧 서비스'를 통해 실시한 전세계 17개 산업분야의 2천400여개의 커머셜 코드 베이스에 대한 분석이 담겼다.
보고서에 따르면 컴퓨터 역사상 최악의 취약점으로 꼽히는 로그4j 취약점이 여전히 존재하고 있는 것이 확인됐다. 운영 리스크·유지보수 측면에서 2천97개의 코드베이스 중 85%가 4년 이상 지난 오픈소스를 포함하고 있는 것으로 나타났는데, 88%는 사용 가능한 최신 버전이 아닌 구성 요소를 사용하고 있으며, 이중 5%에 취약한 버전의 로그4j가 포함돼 있었다.
오픈소스 취약점은 전반적으로 감소하는 추세다. 고위험 오픈 소스 취약점을 포함하는 코드베이스의 수는 대폭 감소했다. 올해 감사를 실시한 코드베이스 중 49%가 지난해 60%에 비해 최소 1개 이상의 고위험 취약점을 포함하고 있었고, 평가 대상 코드베이스의 81%가 적어도 하나의 알려진 오픈 소스 취약성을 포함하고 있는 것으로 조사됐다. 이는 2021년 OSSRA의 조사 결과 대비 3% 감소한 수치이다.
라이선스 충돌도 감소하는 추세로 나타났다. 코드베이스의 절반 이상(53%)이 라이선스 충돌을 포함하였으나, 이는 2020년의 65%에 비해 상당히 감소한 수치이다. 일반적으로 2020년과 2021년 사이에 특정 라이선스 충돌이 전반적으로 감소했다.
관련기사
- '커뮤니티 vs 엔터프라이즈' 오픈소스 어떤 버전 쓸까2022.06.17
- 구글, 오픈소스 생태계 보안패치 지원한다2022.05.17
- 엔비디아, 리눅스 GPU 커널모듈 오픈소스로 공개2022.05.12
- "디지털플랫폼정부, 오픈소스로 구축해 예산 절감하고 서비스 효용 높여야"2022.05.03
시높시스 사이버보안연구센터의 팀 맥키 수석 보안전략 임원은 "감사를 진행한 코드베이스의 절반 이상이 여전히 라이센스 충돌이 있었고, 절반에 가까운 코드에 고위험 취약성이 포함되어 있었다. 더 큰 문제는 위험 평가를 실시한 코드베이스의 88%가 적용 불가능한 업데이트나 패치가 있는 오래된 버전의 오픈 소스 컴포넌트를 포함하고 있다는 것"이라고 지적했다.
그는 이어 "조직 내 사용되는 오픈소스 코드의 최신 인벤토리를 정확하게 관리하지 않는 경우 오래된 구성요소가 고위험 공격에 노출될 수 있다"고 덧붙였다.