KISA, 오픈소스 23만여 개 분석
3.5%에서 보안 취약점 발견돼
해킹, 디도스, 악성코드 가능성
"검증된 오픈소스 사용하세요"

게티이미지뱅크

<이미지를 클릭하시면 크게 보실 수 있습니다>

국내 기업들이 제품 개발 과정에서 사용하는 오픈소스가 해킹에 악용될 수 있다는 분석이 나왔다. 오픈소스는 소프트웨어(SW)의 설계도라고 할 수 있는 소스 코드를 누구나 쓸 수 있도록 공개한 것이다.

한국인터넷진흥원(KISA)은 오픈소스 23만1,000여 개의 구성 요소를 분석한 결과, 3.5%에서 악성코드 원격 실행, 민감 정보 노출 등에 악용될 수 있는 보안 취약점이 발견됐다고 7일 밝혔다. 또 오픈소스 구성 요소 0.49%에서는 실제 해킹이나 디도스(DDoS, 분산 서비스 거부) 공격에 사용될 수 있는 고위험 취약점이 확인됐다. 디도스 공격은 바이러스에 감염된 수많은 '좀비' 컴퓨터를 동원해 특정 웹사이트를 동시에 공격해 기능을 마비시키는 수법을 뜻한다. KISA는 "오픈소스 사용이 일상화하면서 공급망 보안이 새로운 취약점이 되고 있다"고 했다.

이에 KISA는 기업들이 외부 오픈소스의 보안 요구 사항을 일일이 점검하기 어렵다는 점을 고려해 소스 코드 도입부터 배포 후 모니터링까지 통합 관리하는 공급망 보안 관리 체계를 마련했다. 핵심은 'SW 자재 명세서(SBOM)'다. 제조업의 자재명세서(BOM) 개념을 SW에 적용한 것으로, 이를 통해 SW의 구성 요소를 식별하고 관리할 수 있다. 기업이 이 체계를 반드시 이용해야 하는 것은 아니지만, KISA는 관련 사업을 계속 확대해 의료·교통·금융 등 산업별 특성에 맞춘 공급망 보안 관리 체계를 구체화해나갈 계획이다.

KISA 관계자는 "개발자들이 '깃허브(오픈소스 코드 공유 플랫폼)' 등에서 가져오는 소스 코드가 안전하다고 믿을 수 없는 상황에서, 자주 쓰이는 오픈소스를 모아 검증하고 SBOM을 생성해 승인된 오픈소스만 사용하도록 하고 있다"고 설명했다. 미국은 2021년 행정명령을 통해 연방정부에 납품하는 SW에 SBOM 제출을 의무화했다.

박준석 기자 pjs@hankookilbo.com