[디지털데일리 이상일기자] 한국인터넷진흥원(KISA)은 7일 23만1000여개의 오픈소스 소프트웨어 구성 요소를 분석한 결과, 약 3.5%에서 악성코드 원격 실행이나 민감 정보 노출 등 보안 취약점이 발견됐다고 밝혔다. 이 가운데 0.49%는 실제 해킹이나 분산 서비스 거부(DDoS) 공격에 악용될 수 있는 고위험 취약점(KEV)으로 분류됐다.

이번 조사는 소프트웨어 개발 과정에서 사용된 오픈소스 구성 요소를 대상으로 진행됐다. 조사 대상 소프트웨어는 모두 최소 1개 이상의 오픈소스 코드를 포함하고 있었다. KISA는 “오픈소스 사용이 일상화되면서 공급망 보안이 새로운 취약점이 되고 있다”고 설명했다.

최근 미국과 유럽연합(EU) 등 주요국은 오픈소스 보안 강화를 위해 ‘소프트웨어 자재 명세서’(SBOM) 제출과 관리 의무화를 추진 중이다. EU는 내년 9월부터 사이버 복원력법(CRA)과 EUCC 인증 제도를 본격 시행한다. 이에 따라 EU 시장에 소프트웨어를 판매하는 기업은 판매 후에도 취약점이 발견될 경우 기관에 통보해야 한다.

KISA는 기업이 외부 오픈소스의 보안 상태를 일일이 점검하기 어렵다는 점을 고려해, 소스 코드 도입부터 배포 후 모니터링까지 통합 관리하는 공급망 보안 관리 체계를 마련했다. 이를 통해 안전성이 검증된 오픈소스만 활용하도록 지원하고 있다.

진흥원 관계자는 “개발자들이 깃허브 등에서 내려받는 오픈소스가 반드시 안전하다고 볼 수 없다”며 “검증된 코드만 사용하도록 SBOM을 자동 생성·관리하는 체계를 구축했다”고 설명했다.

한편, KISA의 자문을 받은 에스트랙픽은 미국 워싱턴DC 지하철 개찰 시스템 수출 과정에서 SBOM을 제출했고, 한드림넷은 일본 시장 진출 시 펌웨어 취약점을 개선한 사례로 소개됐다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -