"오픈소스 사용이 증가하고 있다. 오픈소스에 대한 보안 취약점도 그렇다."

조시행 인사이너리 연구소장이 11월2일 열린 '2017 SW 개발보안 컨퍼런스'에서 오픈소스 보안 관리의 문제점을 짚었다. 조시행 연구소장은 이날 '오픈소스 활용과 개발보안'을 주제로 발제했다.

▲  조시행 인사이너리 연구소장.
▲ 조시행 인사이너리 연구소장.

블랙덕소프트웨어가 2016년 내놓은 자료에 따르면, 기업의 78%가 오픈소스를 사용한다. 오픈소스를 전혀 사용하지 않는 기업은 3%에 불과했다. 오늘날 국내 오픈소스 소프트웨어의 시장 규모는 1800억원 규모로 예상된다. 2020년에는 2800억원을 넘길 것으로 보인다.

오픈소스에 대한 보안 취약점도 증가 추세다. 조시행 연구소장은 2014년부터 오픈소스의 보안 취약점 발견이 늘어나고 있다고 분석했다. 블랙덕소프트웨어의 '2015 오픈소스의 미래 조사'에 따르면, 매년 4천개가 넘는 오픈소스 보안 취약점이 발견되고 있다.

하지만 많은 기업이 오픈소스 보안 관리를 허점투성이로 운영하고 있다. 앞선 블랙덕소프트웨어의 2015년 자료에 따르면, 조사대상 기업의 98%는 자사가 어떤 오픈소스를 사용하는지 정확히 인지하지 못하고 있었다. 또 전체 조사 기업의 67%는 오픈소스 코드의 보안 취약점을 모니터링하고 있지 않았다.

조시행 연구소장은 오픈소스 보안에 대한 기업의 대응이 미흡하다는 점을 지적하며 변화를 요구했다. 그는 무엇보다 '오픈소스 가시성'을 확보해야 한다고 강조했다. 오픈소스에 대해 이미 알려진 보안 취약점이 많은 만큼, 가시성이 확보되면 상당부분 사전 대응이 가능하다. 또 오픈소스 전담 담당팀과 담당자를 구성해야 한다고 말했다.

조시행 연구소장은 "오픈소스에는 많은 개발자가 관여해 상대적으로 (보안에) 안정적일 수 있지만, 보안 관점에서 오픈소스가 '좋다 혹은 나쁘다'의 문제가 아니라 공격자의 공격대상이냐 아니냐의 문제로 접근해야 한다"라며 인식의 개선 및 보안 대책의 변화를 강조했다.

저작권자 © 블로터 무단전재 및 재배포 금지