취약점이 사슬처럼 얽힌 오픈소스 라이브러리, 앱의 70%가 취약

입력 : 2020-05-20 10:54

8만 개 넘는 애플리케이션 분석했더니...오픈소스 때문에 70%가 취약한 상태
XSS 취약점 가장 많아...패치가 있는데도 적용하지 않아서 큰 사고로 이어져

[보안뉴스 문가용 기자] 오픈소스가 ‘안전한 개발’을 꾸준히 위협하고 있다. 특히 오픈소스 라이브러리의 관리가 커다란 골칫거리라고 한다. 현재 약 70%의 애플리케이션들에서 취약점을 최소 1개 이상 가지고 있는 오픈소스 라이브러리가 발견되고 있으며, 이는 애플리케이션 생태계 전체에 암세포처럼 자리하고 있다. 보안 업체 베라코드(Veracode)가 8만 1천여 개의 애플리케이션을 분석해서 얻어낸 결과다.


오픈소스 라이브러리에서 나타나는 취약점들은 언어와 프레임워크에 따라 다양하게 갈린다. 따라서 개발자들은 사용하고자 하는 라이브러리의 언어나 프레임워크의 특성을 신중하게 고려해야 한다고 베라코드는 설명했다. “예를 들어 PHP 애플리케이션이라면, 임포트 된 오픈소스 요소들을 어느 정도 가지고 있습니다. 앱 하나 당 평균 34개이고 취약한 것들이 많이 발견됩니다. 자바스크립트는 어떨까요? 비교적 취약한 라이브러리가 적은 편입니다만 자바스크립트로 만든 애플리케이션에는 임포트 된 라이브러리가 평균 377개나 발견됩니다. 당연히 취약점이 많을 수밖에 없지요.”

그러므로 개발자들은 프로젝트가 다 끝난 후의 패치에만 신경 쓸 것이 아니라, 개발 과정 중 자신이 활용하고 있는 프레임워크에도 관심을 가져야 한다는 게 베라코드의 수석 연구 책임자인 크리스 엥(Chris Eng)의 설명이다. “오픈소스 소프트웨어에는 우리가 생각하는 것보다 훨씬 많은 취약점이 포함되어 있습니다. 따라서 공격이 들어올 수 있는 경로가 개발자들이 예상하는 것보다 다양하고 많죠. 게다가 오픈소스 라이브러리는 또 다른 오픈소스 라이브러리를 차용하는 식으로 디펜던시가 형성되어 있기 때문에 취약점과 공격 경로를 다 예상하는 게 힘듭니다. 그러나 그러한 위험성이 오픈소스 사용 시 발생한다는 걸 인지는 해야겠죠.”

베라코드가 이번 보고서를 통해 하나 더 강조한 건 “애플리케이션 보안을 위협하는 1순위는 여전히 ‘패치를 하지 않는다’는 것”이라는 점이다. 이미 널리 공개된 취약점이라면 픽스가 존재하는 것들이 대부분(90%)이라고 한다. 이걸 적용하기만 하면 공격 경로가 상당히 줄어들 수 있는데, 여러 가지 이유로 패치를 하지 않는 게 현재 가장 큰 문제라고 엥은 설명한다. “공격자들이 제일 좋아하는 게 오래된 취약점입니다. 검증된 공격법이 있으니 안정적이기 때문이죠. 새로운 취약점을 발굴하는 것보다 투자 비용이 덜 들고요.”

베라코드는 “오픈소스를 사용하지 말라는 것이 아니”라고 강조했다. “오픈소스를 사용한다는 것이 개발사에게 얼마나 큰 유익이 되는지 잘 알고 있습니다. 하지만 세상에 완전 공짜는 없습니다. 무료로 성능 좋은 라이브러리를 가져다 쓴다? 그러고도 아무런 문제가 없길 바란다? 이런 생각이 잘못된 것입니다. 현재 오픈소스 생태계는 취약점으로 가득하다고 해도 과언이 아니며, 따라서 이를 잘 알고 활용해야 할 것입니다.”

그러면서 베라코드는 “시큐어 코딩은 자신이 사용하는 오픈소스 라이브러리의 보안 특성을 파악하는 것에서부터 시작한다”고 말했다. “자바스크립트, PHP, 루비로 만들어진 애플리케이션의 80% 이상이 2/3 이상의 라이브러리를 임포트 해 옵니다. 그리고 이 라이브러리는 또 다른 라이브러리에서 코드를 호출하고요. 반면 마이크로소프트의 닷넷(.NET)이나 애플의 스위프트(Swift)로 만들어진 애플리케이션들이라면 이런 식으로 맞물린 라이브러리를 활용하는 사례가 10%도 되지 않습니다. 그 중간 즈음에 고(Go), 자바, 파이선이 있습니다.”

각 언어별 특성 역시 시큐어 코딩에 있어서 고려되어야 할 요소다. “예를 들어 PHP 애플리케이션은 서로 종속되어 있는 라이브러리의 특성 때문에 취약점이 비교적 많은 편입니다. 게다가 이 취약점들이란 게 라이브러리끼리 맞물려서 생기는 것이기 때문에 개발자의 눈에 좀처럼 보이지도 않습니다. 심지어 PHP 라이브러리의 27%가 익스플로잇 가능한 오류를 가지고 있기도 하지요. 이런 점을 인지하고 PHP를 사용해야 안전합니다.”

자바스크립트라고 안전한 건 아니다. “자바스크립트 애플리케이션들에서 나타나는 특성은, 다수의 소규모 라이브러리를 임포트 한다는 겁니다. 네 줄 정도로 구성된 아주 작은 라이브러리들이 다량으로 사용됩니다. 그런데 라이브러리 하나하나를 살펴보면 취약한 게 상대적으로 적어요. 즉, 이렇게 정리할 수 있죠. 자바스크립트 애플리케이션은 비교적 안전한 라이브러리를 활용하는 편이나, 라이브러리 수 자체가 워낙 많기 때문에 취약점이 있을 가능성이 높다, 라고요.”

그렇다면 이런 오픈소스 라이브러리들에서 가장 많이 나타나는 취약점은 무엇일까? 베라코드가 조사한 바에 의하면 XSS 취약점이 29% 정도 비율로 발견된다고 한다. 불안전 비직열화(insecure deserialization) 취약점과 불완전 접근 제어(broken access control) 취약점 역시 높은 비율로 나타났다. 다만 XSS 취약점들 중 실제 익스플로잇이 가능하다고 알려진 건 8%에 그쳤고, 불안전 비직열화와 불완전 접근 제어 취약점들의 경우 이 비율이 30%에 달한다고 한다.

희망적인 소식이라면, 이런 오류들의 90%가 간단한 픽스로 해결이 가능하다는 것이다. “오픈소스 소프트웨어는 많은 장점을 가지고 있습니다. 그렇기 때문에 점점 더 커질 생태계일 수밖에 없습니다. 이걸 불안하다고 사용하지 말라고 한다면, 시장에서 뒤쳐질 겁니다. 안전하게 활용하는 게 최선의 방법입니다. 그러기 위해서는 먼저 오픈소스 속에 많은 취약점이 사슬처럼 얽혀 있다는 걸 알고, 개발이 진행되는 와중에 이를 탐지하고 해결할 방법론을 구축해야 합니다. 대부분 픽스가 나와 있으니, 그걸 부지런히 찾아 적용하는 것도 좋은 습관입니다.”

3줄 요약
1. 오픈소스 라이브러리에 취약점이 얼마나 많은지 애플리케이션의 70%가 취약한 상태.
2. 각 프로그래밍 언어나 프레임워크의 특성에 따라 취약점의 특성도 달라짐.
3. 90%의 경우 간단한 픽스 적용으로 문제 해결 가능. 픽스만 잘 해도 시큐어 코딩.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 3

  SW 공급망 보안 가이드라인 1.0 발표.....

• 4

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 5

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...