2014년 4월 인터넷 통신을 암호화하는 오픈소스 라이브러리 오픈 SSL에서 ‘하트블리드’ 취약점이 발견됐다. 뒤이어 9월 GNU 프로젝트 Bash에서 원격명령을 실행할 수 있는 취약점도 나왔다.
지난해 연이어 폭넓게 사용되는 오픈소스 SW에서 보안 이슈가 발생했다. 이들 취약점은 서버와 데스크톱, 모바일기기, 하드웨어 장비 등 다양한 분야 소비자와 기업에 영향을 미쳤다.
이 취약점은 새롭게 발견된 것이라기보다는 오랜 기간 잠재된 문제점이 구체적으로 악용되기 시작한 사례다. 올해도 이러한 추세가 지속돼 오픈소스 관련 새로운 취약점이 추가 공개될 것으로 예상된다.
다만, 다수 취약점이 발견된 오픈소스 기반 주요 제품이 방어기능을 강화하면서 취약점 발견은 점점 어려워지고 있다. 오픈소스를 노리는 공격자는 더 늘어날 전망이다. 오픈소스 SW에서 취약점을 발견하면 한꺼번에 폭넓은 공격 대상을 확보할 수 있기 때문이다. 다양한 제품이나 보안 시스템에 영향을 끼친다.
오픈소스는 소스코드가 공개돼 많은 오디터(Auditor)가 분석해 더 안전하다고 인식돼 왔는데 이를 완전히 뒤집는 결과다.
지난해 발견된 오픈소스 보안 취약점 대부분은 공격자가 시스템과 서비스 권한을 획득할 수 있는 심각한 내용이었다. 국내 상당수 기업은 오픈소스를 활용해 제품을 만들었지만 이의 관리가 부족했다. 취약점이 발견됐지만 발 빠르게 대처할 수 없었다. 제품에 어떤 버전 오픈소스 SW를 사용했는지 관리가 되지 않은 탓이다.
블루코트는 하트블리드나 셸쇼크처럼 하나의 오픈소스 오류가 전체 시스템에 영향을 미치는 취약점 공격 악성코드가 지속적으로 증가한다고 전망했다.
이를 위해 개발사는 오픈소스 코드 분석에 더 많은 비용을 투자하거나, 문제 발생 시 서드 파티와 라이선스 발급자에게 책임을 지우는 상업 서비스를 이용해 개발 비용이 높아진다고 분석했다. 또 SSL과 TLS 프로토콜의 오픈소스 구현으로 SSL을 대체할 프로토콜인 ‘리브리SSL(LibreSSL)’과 같이 여러 가지 대안을 모색하는 시도가 늘어난다.
김인순기자 insoon@etnews.com
