"최신 오픈소스 10개 중 1개 이상, 보안 취약"

보안에 안전하다고 여겨지는 최신 오픈소스 조차 보안에 취약한 것으로 나타났다. 활용도가 높은 최신 오픈소스 10개 중 1개 이상은 치명적 취약점을 안고 있었다. 오픈소스를 활용하는 소프트웨어(SW)뿐 아니라 이를 활용하는 장비까지 보안위협에 그대로 노출될 수 있어 취약점 관리가 요구된다.

이희조 고려대 소프트웨어 보안 연구소장은 고려대 자연계캠퍼스 하나스퀘어에서 열린 '아이오티큐브(IoTcube) 콘퍼런스 2019'에서 오픈소스 취약점 현황을 발표했다.

고려대 소프트웨어 보안 연구소(CSSA)는 최근 오픈소스 깃허브 C/C++ 상위 2000개 소스코드를 분석했다. CSSA가 개발한 온라인 취약점분석툴 IoT큐브를 활용했다. 분석 결과 상위 활용도가 높은 오픈소스 15%는 CVE 취약점을 그대로 안고 있었다.

Photo Image
이희조 고려대 소프트웨어 보안 연구소장(CSSA)이 아이오티큐브 콘퍼런스 2019에서 오픈소스 취약점 현황에 대해 발표하고 있다.

IoT큐브는 4개국 보안 전문가와 국내 기업, 교수, 기업 등 공동연구로 개발한 보안취약점 관리 플랫폼이다. IoT기기 개발 시 코드 내 숨겨진 취약점을 찾고 보안성 테스트, 패치도 가능하다.

사용도가 높은 오픈소스일수록 취약점이 많았다. C언어 '상위 100 취약점 발견 소프트웨어 비율'은 15%로 나타났으며 상위 300 13.6%, 상위 1000 11.8% 순이었다. C++언어는 상위 100 13.0%, 상위 300 13.5%, 상위 1000 11.9%로 나타났다.

검출 취약점 위험도도 90%이상이 중간 이상 위험도를 갖고 있었다.

이 교수는 “이미지 프로세싱, 컴파일러, 게임엔진, 데이터베이스(DB) 등 오픈소스 SW를 그대로 가져다 쓰지만, 최신 버전 오픈소스 취약점에 대해 보안 위협을 고려하지 않는다”고 지적했다.

오픈소스의 높은 취약점 검출 빈도 이유는 SW 재사용 때문이다. 일반적으로 오픈소스를 활용한 SW는 전체뿐 아니라 일부 소스만 발췌해 사용하기도 한다. 이들이 하나의 SW로 합쳐지면서 업데이트 등 문제가 발생한다. 게다가 특정국가에서 많이 사용하는 게임엔진과 DB가 관리되지 않은 경우도 있었다.

이 교수는 “단순히 오픈소스 버전만 확인할 것이 아니라 해당 소스가 보안에 안전한 것인지 확인하는 작업이 추가적으로 요구된다”면서 “사용도가 높은 오픈소스에 대한 취약점 내포 관리가 필요하다”고 말했다.

IoT큐브 향후 발전 방향도 언급했다. 지난해 교육연구, 사업분야로 IoT큐브 활용을 늘리기 위한 활동을 진행했다. 최근 미국 LA 스마트시티 구축 관련, 데이터를 사고파는 'I3마켓플레이스'에 IoT큐브 활용을 지원하기로 했다. IoT큐브를 활용해 데이터 수집 장비 취약점을 확인, 데이터 무결성을 높인다.

올해는 오픈소스SW 컴포넌트 분석, 바이너리 취약 클론 탐지, 취약 DB 등으로 기술을 지속 확장한다. 이외 IoT큐브 상용 서비스 론칭도 진행한다.

이날 행사는 CSSA와 한국침해사고대응협의회(CONCERT)가 함께 개최했다. 사물인터넷(IoT), 스마트팩토리 매뉴팩처링(SFM), 인공지능(AI), 블록체인 등 SW 보안과 보안취약점 자동분석 공개 플랫폼(IoTcube) 관련 신기술을 교류했다.

표 : 취약점 발견 소프트웨어 비율

출처 : IoT큐브

"최신 오픈소스 10개 중 1개 이상, 보안 취약"

정영일기자 jung01@etnews.com


브랜드 뉴스룸