최종편집시간: 2020-06-03 16:18:07
모바일
20.2℃
튼구름
미세먼지 보통

“방치한 오픈소스, 자동차 해킹 ‘뇌관’된다”

  • 입력 2017.04.05 00:01 | 수정 2017.04.04 15:13
  • 김언한 기자 (unhankim@ebn.co.kr)

SW 개발 시 오픈소스 비중 늘며 취약점 악용

블랙덕소프트웨어, '2017 오픈소스 보안 4대 전망' 발표

4일 마이크 피튼쳐 블랙덕소프트웨어 부사장이 오픈소스 보안 위협에 대해 설명하고 있다.ⓒ블랙덕소프트웨어4일 마이크 피튼쳐 블랙덕소프트웨어 부사장이 오픈소스 보안 위협에 대해 설명하고 있다.ⓒ블랙덕소프트웨어


"해커 입장에서는 스스로 보안 취약점을 찾는 것보다 오픈소스 보안 취약점을 이용해 공격하는 것이 더 쉽다."

마이크 피튼쳐(Mike Pittenger) 블랙덕소프트웨어 부사장은 4일 서울 코엑스에서 열린 '2017 오픈소스 보안 4대 전망' 기자간담회에서 이같이 말헀다.

피튼쳐 부사장은 오픈소스 보안 취약점이 대규모 보안 사고를 초래하게 될 것이라고 진단했다.

오픈소스는 무상으로 공개된 일종의 소스코드 설계도를 말한다. 과거 개발자가 소프트웨어 개발 시 대부분을 설계했다면 최근 소프트웨어 개발의 근간은 오픈소스다. 개발비용과 기간을 대폭 단축시킨다. 자동차에 탑재되는 소프트웨어의 약 30%, 임베디드 기기의 경우 70%가 오픈소스로 채워진다.

블랙덕소프트웨어에 따르면, 매년 오픈소스 취약점을 기반으로 한 공격은 20%씩 증가 추세다. 상용코드와 달리 모니터링부터 업데이트까지 모두가 사용자 몫이기에 관리가 어렵다.

피튼쳐 부사장은 "과거 대기업들이 소프트웨어 개발에 활용된 오픈소스 리스트를 관리한 이유는 저작권 때문이었지만 최근에는 트렌드가 변했다"며 "오픈소스가 보안 취약점을 파고드는 방식으로 악용돼 이를 관리하지 못하면 대규모 사고로 이어질 수 있다"고 강조했다.

하지만 대다수의 기업들은 사용된 오픈소스의 취약점도 알지 못하는 상태다. 이를 확보했을 경우라도 취약점의 일부만 가진 경우가 많다.

지난해 출시된 자동차에 탑재된 소프트웨어는 1억개가 넘는 코드라인을 포함하고 있는 것으로 나타났다. 자동차 제조업체들이 소프트웨어 대부분을 협력업체로부터 공급받는다는 사실을 고려할 때 대규모 리콜 사태가 발생할 가능성이 있다.

피튼쳐 부사장은 "자동차 제조업체는 어떤 오픈소스가 활용됐는지 알지 못한 채 양산을 진행할 수 있다"며 "발견되는 취약점을 일일이 따라가기 어려워 해커의 공격에 노출, 대규모 자동차 리콜 사태가 발생할 소지가 충분하다"고 주장했다.

오픈소스 보안 취약점 정보는 미국 국립표준기술연구소(NIST)에서 운영하는 NVD(National Vulnerability Database)에 공개돼있다. 정보를 악용할 시 아마추어 해커도 추가 학습 등을 통해 공격이 가능해진다.

인수합병 시 인수 기업 가치를 훼손시키거나 거래가 불발될 가능성도 제기된다. 소프트웨어 기업의 경우 프랜차이즈 가치에 큰 타격을 입을 수 있다.

피튼쳐 부사장은 "오픈소스는 소프트웨어 시대에 필수 요소지만 대부분 기업들은 자사 코드에 포함된 오픈소스의 잠재젹인 보안 이슈에 무지하다"며 "현재는 이미 알려진 보안 취약점조차 제대로 조치되고 있지 않아 파급력이 큰 이슈가 발생하게 될 것"이라고 예상했다.


©(주) EBN 무단전재 및 재배포 금지

전체 댓글 0

로그인 후 댓글을 작성하실 수 있습니다.
EBN 미래를 보는 경제신문