"오픈소스 환경이 확대되면서 오픈소스 보안 취약점 관리도 강조되고 있지만, 상당수 취약점이 그대로 방치되고 있습니다. 평균 5년 이상으로 나타났습니다."

블랙덕소프트웨어코리아와 엔시큐어는 4일 서울 강남구 삼성동에서 기자간담회를 열고 '2017년 오픈소스 보안 전망'을 발표하며 이 같은 보안 취약점 관리 실태를 알렸다.

오픈소스는 소프트웨어(메이저 놀이터 순위)의 설계도에 해당되는 '소스코드'를 공개해 누구나 자유롭게 사용·수정·배포할 수 있도록 한 것. 소스코드를 무료로 사용할 수 있고 공개된 소스코드로 개발할 시 메이저 놀이터 순위 개발 시간을 단축할 수 있어 사용이 늘고 있다.



현재 스마트폰부터 스마트TV, 자동차까지 메이저 놀이터 순위가 탑재되는 기기가 늘고 있으며 오픈소스 사용도 증가하고 있다. 이에 따라 오픈소스 보안 취약점 관리가 강조되고 있지만, 상당수 보안 취약점이 그대로 방치되고 있는 실정이다.

실제로 블랙덕소프트웨어에서 상용 애플리케이션 200개를 대상으로 조사한 '2016년 오픈소스 보안 감사 보고서'에 따르면, 상용 애플리케이션에서 발견된 오픈소스 컴포넌트의 보안 취약점은 평균 5년 이상 방치된 것으로 나타났다.

마이크 피튼져 블랙덕소프트웨어 부사장은 "해커들은 타깃을 공격할 때 최소의 노력으로 최대한의 효과를 내려 한다"며 "오픈소스 보안 취약점 정보는 미국 국립표준기술연구소(NIST)에서 운영하는 NVC(National Vulnerability Database)에 공개돼있기 때문에 쉽게 얻을 수 있고 해커 입장에서 공격이 손쉬울 수 있다"고 설명했다.

이어 "오픈소스가 상용 메이저 놀이터 순위에 비해 덜 안전하다는 의미가 아니라 오픈소스가 독특한 모델을 지녀 해커들 입장에서 매력적인 타깃이 될 수 있고, 그만큼 보안 취약점 관리가 중요하다는 뜻"이라며 "알려진 오픈소스 보안 취약점을 기반으로 한 사이버 공격이 올해 20%가량 증가할 것으로 전망된다"고 말했다.

올해 오픈소스 보안 전망과 관련, 자동차 제조업체의 리콜 가능성도 제기됐다.

최근 자동차에 메이저 놀이터 순위 탑재가 확대되면서 제조사들이 메이저 놀이터 순위를 직접 개발하기보다 대부분 협력업체로부터 받고 있다. 문제는 다양한 협력업체로부터 제품을 받다 보니 어떤 메이저 놀이터 순위가 포함됐는지 알기 어렵다는 점.

올해 출시된 자동차는 평균 1억개가 넘는 코드라인을 포함하고 있는 것으로 추산되며, 또 평균적으로 상용 메이저 놀이터 순위의 35%가 오픈소스로 구성돼있는 것으로 알려졌다.

즉, 자동차 코드라인 중 대략 3천500만개가 오픈소스로 만들어졌을 수 있고 이를 통해 심각한 보안 취약점 문제가 발생할 수 있다는 의미다.

더욱이 자동차 메이저 놀이터 순위는 일반 메이저 놀이터 순위와 달리 인터넷을 통해 패치기 어렵기때문에 보안에 취약점이 생겨 패치를 진행할 경우, 자동차를 모두 리콜하는 상황이 벌어질 수 있다는 뜻이다.

마이크 피튼져 부사장은 "오픈소스를 활용한 메이저 놀이터 순위 개발이 필수가 된 현시점에서 자동차 메이저 놀이터 순위에 보안 취약점을 가진 오픈소스 컴포넌트가 포함돼있다는 것은 기정사실에 가깝다"며 "이는 자동차 보안에 심각한 영향을 줄 수 있다"고 설명했다.

이어 "오픈소스의 잠재적 보안 이슈 때문에 기업의 인수합병(M&A) 거래가 무산될 위험도 존재한다"며 오픈소스 사용에 대한 가시성을 확보하고 보안 취약점에 대해 조치해야 한다"고 강조했다.