UPDATED. 2022-12-09 11:43 (금)
시높시스, "88%의 조직, 최신 오픈소스 업데이트 미진"
시높시스, "88%의 조직, 최신 오픈소스 업데이트 미진"
  • 박광하 기자
  • 승인 2022.06.30 20:54
  • 댓글 0
이 기사를 공유합니다

오픈소스 보안·리스크 분석 보고서
라이선스 충돌·취약점 감소 추세
취약점을 가진 오픈소스 비율. [자료=시높시스]
취약점을 가진 오픈소스 비율. [자료=시높시스]

[정보통신신문=박광하기자]

시높시스(Synopsys)는 전세계 오픈소스 사용 현황을 분석한 '2022 오픈소스 보안과 리스크 분석(OSSRA)' 연례 보고서를 30일 발표했다.

7회째로 발간된 이번 보고서에는 글로벌 1위 OSS 라이선스 관리 솔루션인 '블랙덕 오딧 서비스(Black Duck Audit Services)'를 통해 실시한 전세계 17개 산업분야의 2400여개의 커머셜 코드 베이스에 대한 분석이 담겨 있다.

이 보고서는 상호 연결된 소프트웨어(SW) 생태계에 대한 개발자들의 이해를 돕고, 관리되지 않는 오픈소스의 위험성, 보안 취약점, 오래된 구성요소, 라이선스 컴플라이언스 이슈에 대한 상세 정보를 전달한다.

2022 OSSRA 보고서에 따르면 오픈소스가 모든 산업에서 널리 사용되고 있으며 현재 운영되고 있는 대부분의 애플리케이션에 기반을 제공하는 것으로 나타났다.

최악의 취약점으로 꼽히는 로그포제이(Log4j) 등 오래된 오픈소스들이 여전히 표준으로 사용되고 있는 상황이다.

운영 리스크, 유지보수 측면에서 2097개의 코드베이스 중 85%가 4년 이상 지난 오픈소스를 포함하고 있는 것으로 나타났다. 88%는 사용 가능한 최신 버전이 아닌 구성 요소를 사용하고 있으며, 이중 5%에 취약한 버전의 Log4j가 포함돼 있다.

오픈소스 취약점은 전반적으로 감소 추세다.

고위험 오픈소스 취약점을 포함하는 코드베이스의 수는 대폭 감소했다. 올해 감사를 실시한 코드베이스 중 49%가 지난해 60%에 비해 최소 1개 이상의 고위험 취약점을 포함하고 있었고, 평가 대상 코드베이스의 81%가 적어도 하나의 알려진 오픈소스 취약성을 포함하고 있는 것으로 조사됐다. 이는 2021년 OSSRA의 조사 결과 대비 3% 감소한 수치이다.

라이선스 충돌도 감소하는 추세다.

코드베이스의 절반 이상(53%)이 라이선스 충돌을 포함했으나, 이는 2020년의 65%에 비해 상당히 감소한 수치이다. 일반적으로 2020년과 2021년 사이에 특정 라이선스 충돌이 전반적으로 감소했다.

20%는 라이선스가 없거나 사용자 정의된 라이선스가 있는 오픈소스였다.

SW 라이선스가 사용권을 통제하기 때문에 라이선스가 없는 SW는 오픈소스 컴포넌트의 사용이 법적 위험을 수반하는지 여부에 대한 딜레마를 일으킨다. 또한 커스터마이징된 오픈소스 라이선스는 기술 구매자에게 바람직하지 않은 요건을 부과할 수 있으며, 종종 IP 이슈 혹은 기타 영향에 대한 법적 평가가 필요할 수 있다.

시높시스 사이버보안연구센터의 팀 맥키(Tim Mackey) 수석 보안전략 임원은 "SCA SW 사용자들은 오픈소스 라이선스 문제를 줄이고 고위험 취약점을 해결하는 데 관심을 기울여왔으며 이러한 노력은 올해 라이선스 충돌과 고위험 취약점 감소에 반영됐다"며 "감사를 진행한 코드베이스의 절반 이상이 여전히 라이센스 충돌이 있었고, 절반에 가까운 코드에 고위험 취약성이 포함돼 있었다. 더 큰 문제는 위험 평가를 실시한 코드베이스의 88%가 적용 불가능한 업데이트나 패치가 있는 오래된 버전의 오픈소스 컴포넌트를 포함하고 있다는 것"이라고 지적했다.

그는 이어 "SW를 완전히 최신 상태로 유지하지 않는 데는 각각의 이유가 있지만, 조직 내 사용되는 오픈소스 코드의 최신 인벤토리를 정확하게 관리하지 않는 경우 오래된 구성요소가 고위험 공격에 노출될 수 있다. 관리를 하지 않아 잊혀지고 나면 사용 위치를 파악해 업데이트하는데 어려움을 겪게 된다. 최근 Log4j로 촉발된 이슈가 바로 이러한 문제점을 반영하며, SW 공급망과 소프트웨어 자재 명세서(SBOM, Software Bill of Materials)가 중요한 이유가 여기에 있다"고 덧붙였다.

오픈소스 SW의 잠재 위험성과 이를 해결하기 위한 방법이 담겨있는 2022 OSSRA 보고서는 웹사이트 및 시높시스 블로그에서 다운로드 할 수 있다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 문창수
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-12-09
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트