넘버스
넘버스
최근 보안 기관 소스파이어(Sourcefire)가 두 공공 데이터베이스에 보고된 오픈소스와 상용 소프트웨어의 취약성들을 분석해 발표한 ‘취약성의 25년' 보고서에 따르면 지난 수 년 간 파이어폭스 제품들은 여러 심각한 보안 이슈들을 겪어왔다. 그들의 보고서에 따르면 모질라 파이어폭스 브라우저는 마이크로소프트 윈도우 XP의 뒤를 이어 가장 많은 고 가혹도(high-severity) 취약성이 발견된 상품 순위에 이름을 올렸다.
국제 보안 취약성 단체(CVE, Common Vulnerabilities and Exposures) 데이터베이스와 국립 표준 기술 연구소의 국립 취약성 데이터베이스(National Vulnerability Database)에 따르면 파이어폭스에서 발견된 고 가혹도 취약성 및 치명적 취약성은 총 433 건이었다. 고 가혹도 취약성이란 공격자들에게 사용자의 기기 전반을 손상 시킬 수 있는 가능성을 야기하는 취약성을 의미한다. 소스파이어의 ‘10대 취약 상품 리스트'에 이름을 올린 모질라의 상품은 파이어폭스를 제하고도 두 개가 더 있었다.
소스파이어는 보고서에서 ‘가장 많은 취약성을 드러낸 상위 3개 상품은 모두 모질라 제품이었다’라고 지적했다. 이들 기관의 보고서는 또한 리눅스와 윈도우, 그리고 맥 OS를 상품 측면에서 비교하면 리눅스가 1,752 건의 취약성을 드러내며 각각 1,114 건과 827 건의 취약성을 드러낸 윈도우와 맥 OS를 앞질렀다는 사실도 언급했다.
물론 상용 소프트웨어들에서도 마찬가지로 많은 심각한 취약성들이 발견됐다. 그러나 일부 연구자들은 오픈소스 환경이 문제가 더 많다고 지적하고 있다. 결함 있는 코드가 더 널리 사용되고 있기 때문이다. 일부는 오픈소스 환경에서는 보안 문제를 찾아내는 과정 자체가 너무 어렵다는 지적을 내놓기도 했다.
소나타입(Sonatype)의 CSO 라이언 버그는 많은 우려를 낳고 있는 스프링 프레임워크 ‘표현 언어' 결함과 같은 위험들이 그렇게 심각한 문제는 아니라고 이야기했다.
그는 “난 오픈소스 컴포넌트들에서 보안 문제를 확인하는 과정이 매우 어렵다는 것이 더 큰 문제라 생각한다. 결함 있는 오픈소스 소프트웨어가 아무런 주의 없이 사용되는 상황은 심각한 수준에 이르렀다”라고 말했다.
소나타입은 컴포넌트 수명주기 관리 상품들을 공급하는 업체이며 오픈소스 컴포넌트 용 센트럴 리포지터리(Central Repository)를 운영하고 있기도 하다. 이는 40만 개 이상의 컴포넌트들을 수용하고 있으며 매년 6만 개의 기업들의 50억 건 이상의 요청들을 지원하고 있다.
소나타입의 버그는 오픈소스 커뮤니티들이 보고된 이슈들을 보다 심플하고 투명하게 처리하고 공개함으로써 사용자들이 보안 문제를 보다 잘 인식할 수 있도록 해야 할 필요가 있다고 강조했다.
그는 “문제는 취약성이 발견되지 않는 것이 아닌, 이것이 대중들에게 알려지지 않는다는데 있다. CVE의 노력에도 불구하고 여전히 많은 보안 이슈들은 각 기업들의 내부에서만 공유되고 있다. 이런 사실을 인식하지 못한 채 개발자들은 오픈소스에 점점 더 많이 의지하고 있다. 오픈소스의 확산과 더불어 기업들의 코드 개발과 상품은 점점 더 위험해지고 있다”라고 말했다.
Tags
추천기사
