오픈소스 97% 쓰이지만 90%는 패치 안해

오픈소스 이용이 늘어나지만 유지·관리(패치)는 제대로 이뤄지지 않고 있는 것으로 나타났다.

시높시스가 30일 발표한 '2022 오픈소스 보안과 리스크 분석(OSSRA)' 연례 보고서에 따르면 오픈소스 활용이 높은 데 반해 관리는 미흡했다.

OSSRA 보고서는 시높시스가 '블랙덕 오딧 서비스'를 통해 세계 17개 산업분야 2400여개 개발 사례를 대상으로 실시한 분석 결과가 담겼다. 오픈소스의 위험성, 보안 취약점, 오래된 구성요소, 라이선스 컴플라이언스 관련 정보가 핵심이다.

보고서에 따르면 조사 대상의 97%에 오픈소스가 활용됐다. 패치가 필요한 2097개 코드베이스 중 2년·4년 이상 패치를 하지 않은 오픈 소스 비율은 각각 88%, 85%로 나타났다. 하나 이상 알려진 취약점을 갖고 있는 오픈 소스 비중은 81%나 됐다.

보고서는 패치 등 관리를 하지 않으면 취약점 발견시 사실상 대응이 불가능하다고 지적했다. 최근 Log4j 취약점 문제도 이에 해당한다고 설명했다.

제병주 시높시스 코리아 부장은 “한국은 아직 오픈소스 취약점에 대한 위기 인식이 낮은 편”이라며 “사물인터넷, 모바일 분야에서 오픈소스 취약점이 급격히 늘어나고 라이선스 충돌에 방지하는데 노력을 더 기울이고 있다”고 상황을 전했다.

전소현 시높시스 코리아 이사는 “개발에 사용하는 오픈소스의 인벤토리를 정확하게 관리하지 않으면 패치가 안된 구성요소가 고위험 공격에 노출될 수 있다”며 “관리가 미흡하면 사용 위치를 파악해 업데이트하는데 어려움을 겪게 되는 최근 Log4j로 촉발된 이슈가 이에 해당한다”고 설명했다.

전 이사는 “소프트웨어 공급망과 소프트웨어 원재료 명세서(SBOM)로 오픈 소스 등 SW 구성을 파악하고 패치해야 한다”고 덧붙였다.

최호기자 snoop@etnews.com