보안

누구나 쓰는 오픈소스, 잘못 사용하면 치명적인 위협된다

이종현 기자

[디지털데일리 이종현기자] 소프트웨어(SW) 개발에서 오픈소스를 활용하는 것이 당연시 되는 추세다. 전체 코드 중 76%는 오픈소스 SW이며 96%의 코드베이스는 오픈소스를 포함하고 있다는 조사도 발표되고 있다.

오픈소스가 활용되는 이유는 간단하다. 이미 공개돼 있는 오픈소스를 활용함으로써 개발에 필요한 시간과 노력을 단축하기 위함이다. 비즈니스의 핵심 영역에 보다 집중함으로써 빠른 개발을 가능케 한다. 각각의 애플리케이션(앱)이 모듈 형태로 구성되는 마이크로서비스 아키텍처(MSA)의 유행 역시 이 연장선에 놓여 있다.

그러나 이와 같은 오픈소스의 활용은 예기치 못한 위협으로 돌아올 수도 있다. 누구나 볼 수 있도록 공개돼 있는 만큼 공격의 대상이 되기 쉬우며, 악의적인 코드를 삽입한 오픈소스를 정상 오픈소스처럼 배포할 수도 있다.

대표적인 사례가 2021년 연말 발생한 log4j 사태다. 오픈소스 라이브러리인 log4j에서 취약점이 발견됐다. 자바(Java) 기반의 서버와 앱 대부분이 영향을 받았다.

오픈소스를 모듈 단위나 패키지, 바이너리를 다운받아 활용하는 특징 탓에 소스코드를 분석하는 것으로는 한계가 있다. 그야말로 언제 터질지 모르는 폭탄을 안고 있는 듯한 상태로, 이는 소프트웨어 자재명세서(SBOM)와 같은 공급망 보안의 중요성을 알리는 결정적인 계기가 됐다.

오픈소스 보안이 IT 업계의 주요 도전과제로 급부상함에 따라 관련 기술을 갖춘 기업에 대한 문의도 늘고 있다. 오픈소스 기반의 개발운영(DevOps) 및 MSA 전문기업인 OSC도 그중 하나다. OSC는 오픈소스 보안위협을 원천 차단하는 방화벽 솔루션인 소나타입(Sonatype)의 ‘넥서스 파이어월’을 국내에 유통하는 등 오픈소스 보안 이슈에 대응하는 중이다.

이런 가운데 <디지털데일리>는 OSC와 함께 오는 15일 오후2시 ‘보안 전쟁 시대에서 살아남기: 요즘 개발자가 알아야 하는 오픈소스 보안 올인원’을 주제로 온라인 세미나를 개최한다. OSC코리아 인재홍 이사와 소희 매니저가 오픈소스 보안 위협에 대한 트렌드와 대처법과 데모 시연 등을 진행할 예정이다.

세미나는 누구나 참여할 수 있다. <디지털데일리> 온라인 세미나 플랫폼 ‘DD튜브’를 통해 사전 등록하면 된다.

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널