"위험의 선행 지표를 살펴라" 오픈소스 소프트웨어의 10가지 위험과 완화 대책 - 공개메이저 사이트
2024.07.18
ⓒITWorld /Chris Hughes |CSO
최근 XZ 파일 압축/압축 해제에 사용되는XZ 유틸즈(XZ Utils)에서 백도어가 발견되면서 OSS의 보안 및 사용 방식을 점검해야 할 필요성이 커지고 있다. 오픈소스 소프트웨어(Open Source Software, OSS)는 최신 소프트웨어 개발의 기반이 되지만, 공급망의 취약한 고리가 될 수 있다.
XZ 유틸즈의 백도어가 제때 발견되지 않았다면 오늘날 파급력이 가장 큰 소프트웨어 공급망 침해 사고가 됐을 수 있다. XZ 유틸즈 백도어는Log4j처럼 광범위하게 악용되지는 않았지만, 현대의 디지털 생태계가 매우 취약하며 OSS를 소비하고 보호하는 방식을 성숙시켜야 한다는 경각심을 일깨운다.
OWASP(Open Web Application Security Project)의OSS 상위 10가지 위험(Top 10 Risks for Open Source Software)과같은 사이버보안 실무자를 위한 리소스와 지침은 이런 사건에 대응하며 조금씩 발전하고 있다. OWASP가 선정한 상위 10가지 위험은원래 소프트웨어 공급망 및 애플리케이션 보안 업체인 엔돌 랩스(Endor Labs)에서 OSS 및 CI/CD 파이프라인의 안전한 소비와 취약점 관리에 중점을 두고 만들었다. 해당 프로젝트에는 팔로알토, 해시코프, 씨티뱅크와 같은 업계 리더의 지원이 포함됐다.
전통적인 취약점 관리 방법은 흔히CVE(Common Vulerabliity and Exposures)데이터베이스에 포함된 알려진 취약점을 살펴보는 것이다. 하지만 알려진 취약점은 위험의 후행 지표라는 인식이 점점 확산하고 있다.
성숙한 오픈소스 사용 문화를 위해서는 특정 OSS 라이브러리, 구성 요소 및 프로젝트와 관련된 위험이 있음을 알려줄 수 있는 위험의 선행 지표를 살펴보는 패러다임의 전환이 필요하다. 이는 전반적으로 OSS를 보다 안전하게 사용하고 익스플로잇 및 취약점으로 이어지는 잠재적 위험을 완화하는 데 도움이 된다.
다음은 OWASP가 꼽은 상위 10가지 OSS 위험과 완화 대책이다.
(후략)
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 11011 | "위험의 선행 지표를 살펴라" 오픈소스 소프트웨어의 10가지 위험과 완화 대책 - 공개메이저 카지노 | 2028 | 2024-07-19 |
| 11010 | "개발자에 특화된 번역 등…" 구글, 새로운 오픈소스 및 개발 툴 공개 | 1985 | 2024-07-19 |
| 11009 | 허깅페이스, 매개변수 135M에 불과한 ‘스몰LM’ 출시 | 1917 | 2024-07-18 |
| 11008 | [주간 OSS 동향리포트] 정부, 2027년 시행 목표로 국가 메이저 카지노 사이트공급망 보안 제도 마련 예정 | 2523 | 2024-07-18 |
| 11007 | NIPA "오픈소스 전문가 양성"···15개팀 발대식 - 공개검증 사이트 | 1762 | 2024-07-16 |
| 11006 | 패트로누스 AI, GPT-4보다 똑똑한 '헛소리 탐지기' 오픈 소스 출시 - | 1547 | 2024-07-16 |
| 11005 | 국가 메이저 사이트 순위공급망 보안 제도 시행, 2027년 목표…정부 첫 공식화 - | 1703 | 2024-07-12 |
| 11004 | [2024 금융리스크관리] 메이저 사이트 순위도 식품처럼 ‘성분표기’…“SBOM으로 오픈소스 취약점 대비” - | 1489 | 2024-07-12 |
| 11003 | 프랑스 kyutai 'GPT-4o' 흡사한 AI 음성 비서 'Moshi' 공개 | 1678 | 2024-07-10 |
| 11002 | 구글 차세대 OS 퓨시아 선보인다…안드로이드폰 탑재 예정 | 1714 | 2024-07-10 |
0개 댓글