주요 콘텐츠로 건너뛰기
x

오픈소스 보안

 

 

오픈소스 소프트웨어에 대하여

오픈 소스는 넓은 범위에서 사용됩니다. 근래에 작성된 소프트웨어의 90% 이상이 오픈 소스 코드를 이용하고 있으며, IoT 펌웨어, 운영체제, 네트워크 플랫폼 및 애플리케이션 등에도 모두 사용되고 있습니다. 오픈 소스를 활용하면 생산 비용을 낮추고, 혁신적인 기능을 사용할 수 있게 되고, 개발 기간을 몇 개월 또는 몇 년을 줄일 수 있기 때문에 이러한 사용 추세는 더욱 확대되어 질 것입니다. 오픈 소스는 코드가 공개되어 있기 때문에 유사한 비공개 코드보다 더 안정적으로 만들어집니다. 그리고 뛰어난 품질과 유연성 덕분에 오픈 소스 코드는 "비공개 코드"에 비해 더 널리 사용됩니다. 이는 오픈 소스 코드의 보안 취약점이 다양한 애플리케이션과 플랫폼에서 발견될 가능성이 높다는 것을 의미하기도 합니다. 이로 인하여 오픈 소스의 취약성은 해커에게는 효율적인 표적이 될 수 있습니다.

 

 

THIRD-PARTY 코드에 대하여

오늘날 기업에서 자사 사용 목적으로 제작된 소프트웨어들에는 외부에서 제공되거나 또는 오픈 소스 코드 구성 요소를 사용하여 구축된 타사 공급업체의 코드를 포함하는 경우가 많습니다. 자체적으로 소프트웨어를 개발하는 대신 외부 코드를 사용함으로써 전체적인 개발 비용을 낮추고 경쟁력을 확보할 수 있으며 혁신적인 기능을 신속하게 추가할 수 있습니다. 하지만 이런 코드들은 대부분 바이너리 형태로만 제공이 되어지고 있습니다. 이러한 방식으로의 배포는 해당 코드의 개발팀의 지적 재산을 보호하게 되긴 하지만, 해당 바이너리에 포함되어 있는 모든 오픈 소스 구성 요소를 파악하는 것은 거의 불가능하게 됩니다. 이 문제는 엔터프라이즈 플랫폼이 서로 다른 소프트웨어 공급업체에 의해 장기간에 걸쳐 업데이트되고 기존 애플리케이션과 통합될 때 더욱 복잡해지게 됩니다.

 

 

오픈 소스의 가시성(Visibility) 확보

이미 놀라운 사용율에도 불구하고 그 어느 때보다 더 많은 오픈 소스 코드가 신규로 개발되고 공유되어지고 있습니다. Linux Foundation은 310억 줄 이상의 코드가 오픈 소스 저장소에 등록된 것으로 추정하였습니다. 그러나 이렇게 개발되고, 공유된 코드 라인의 수가 증가함에 따라 보고된 취약점의 수도 증가했습니다.

일반적으로 알려진 대규모 사례로 2017년 Equifax 보안 침해 사례가 있었습니다. 해커는 Apache Struts 구성요소의 취약점을 악용하여 1억 4,800만 명이 넘는 사용자의 개인 정보를 유출했습니다. 이의 예방 조치를 실행하는 데 2개월 이상이 걸렸음에도 불구하고 Equifax는 문제를 해결하지 못했습니다. 데이터 유출은 OSS 관련 보안 취약성이 해커가 공격하는 일반적인 대상임을 생생하게 상기시켜 주었으며 기업이 이러한 유형의 위험을 모니터링하고 위험을 완하하는 데 직면한 어려움을 보여주었습니다.

Insignary Clarity는 임베디드 펌웨어 또는 바이너리의 사전 검색을 통해서 알려진 예방 가능한 보안 취약성과 잠재적인 라이선스 준수 문제도 검증합니다. Clarity는 소스 코드나 리버스 엔지니어링 없이 바이너리에서 작동하는 고유한 "Fingerprint" 기술을 활용하여 기업이 적절한 예방 조치를 취하는 데 도움을 제공합니다.

더 알고 싶으세요?