기사 한줄요약('22.6.2.) :
펜데믹을 거쳐 IT 수요가 크게 늘면서 '오픈소스' 사용도 같이 증가하게 되었지만, 그 소스코드를 활용한 보안 위협도 같이 증가하게되면서 '소프트웨어 공급망' 생태계에서 오픈소스에 대한 관리의 중요성이 커지고 있다.
- 오픈소스 정의 :
오픈소스란 프로그래밍 설계도인 소스코드가 공개된 소프트웨어를 의미하는데, 누구나 자유롭게 배포·수정·복제·사용이 가능하다.
- 오픈소스 현 상황 :
1. 최근 디지털 비즈니스를 구성하는 앱의 90% 이상이 오픈소스 코드를 활용해 제작
2. 현재도 주요 리포지토리(저장소)에서 1년에 다운로드 되는 오픈소스 패키지는 약 2조개
3. 2026년에는 현재의 10배이상 수요 예상
- 오픈소스 공격 방식 :
1. SW 개발 당시에 오픈 소스 코드를 제작당시 쓰게되면서 외부 의존성이 커짐
2. 오픈소스 패키지 사이에 악성코드를 심어, 특정상황에 정보유출등이 발생
☞ 패키지 가져올 때 최신버전이 자동 업그레이드 될때 악성코드 삽입
☞ 신뢰성 높은 개발자 계정을 사칭해 악성코드 삽입된 오픈소스 배포
☞ 사람들이 자주 사용하는 오픈소스 개발자의 계정을 해킹해서 악성코드 삽입된 오픈소스 배포
☞ 악성코드와 일반파일과 동일한 이름으로 설정하여 다운받도록 유도
☞ 개발자들이 파일 검색 시 자주하는 오타/정상적인 파일과 유사한 스펠링 제목을 서용하여 다운받도록 유도
- 오픈소스 공급망 대응책 :
1. 공급망 보안 솔루션 사용
☞ 기여자 평판 사용
2. 리눅스 재단 산하 프로젝트 오픈소스보안재단(이하 오픈SSF)은 협업을 통해 소프트웨어 공급망을 안전하게 만드는 노력을 펼치고 있다.
☞ 우선순위 부여
☞ 프로젝트 감사 진행
3. 제로 트러스트(Zero Trust) 개념적용 필요
☞ 제로 트러스트 : '아무것도 신뢰하지 않는다'라는 전체로한 사이버 보안 모델
황정호 기자, 폭증하는 오픈소스 보안 위협… 원인과 대책은?, tech42, https://www.tech42.co.kr/%ED%8F%AD%EC%A6%9D%ED%95%98%EB%8A%94-%EC%98%A4%ED%94%88%EC%86%8C%EC%8A%A4-%EB%B3%B4%EC%95%88-%EC%9C%84%ED%98%91-%EC%9B%90%EC%9D%B8%EA%B3%BC-%EB%8C%80%EC%B1%85%EC%9D%80/
폭증하는 오픈소스 보안 위협… 원인과 대책은? - 테크42
최근 디지털 비즈니스를 구성하는 앱의 90% 이상이 오픈소스 코드를 활용해 제작되고 있는 상황에서 해커들은 소프트웨어 제작에 사용되는 수백 수천개의 오픈소스 패키지 사이에 교묘하게 악
www.tech42.co.kr
