소스 코드를 누구나 수정, 배포할 수 있도록 공개한 오픈소스 소프트웨어를 점검한 결과 0.5%가량에서 실제 해킹 악용될 수 있는 취약점이 발견됐습니다.

한국인터넷진흥원(KISA)은 오늘(7일) 23만1천여개의 오픈소스 구성 요소를 분석한 결과 3.5%에서 악성코드 원격 실행, 민감 정보 노출 등에 악용될 수 있는 보안 취약점이 발견됐다고 밝혔습니다.

오픈소스 구성 요소 0.49%에서는 실제 해킹이나 분산 서비스 거부(DDoS) 공격에 쓰일 수 있는 고위험 취약점(KEV)이 확인됐습니다.

한국인터넷진흥원은 조사 대상 소프트웨어 모두가 최소 1개 이상의 오픈소스 구성 요소를 사용하고 있었다고 전했습니다.

오픈소스 활용이 일상화되고 사이버 공격의 강도가 높아지자 미국, 유럽연합(EU) 등 주요국에서는 '소프트웨어 자재 명세서'(SBOM) 제출·관리를 의무화하는 등 소프트웨어 공급망 관리 지침을 강화하는 추세입니다.

EU에서는 사이버 복원력법(CRA), EUCC 인증 제도 등을 적용하며 내년 9월부터는 EU에 소프트웨어를 수출하는 모든 기업은 판매 뒤에도 취약점이 발견되면 기관에 통보할 의무를 지게 됩니다.

한국인터넷진흥원은 기업들이 공급망 보안 요구 사항을 일일이 점검하기 어렵다는 점을 고려해 외부 소스 코드의 최초 도입부터 배포 후 모니터링까지 관리하는 공급망 보안 관리 체계를 구축했습니다.

진흥원 관계자는 "개발자들이 깃허브 등에서 가져오는 소스 코드가 안전하다고 믿을 수 없는 상황에서 자주 쓰이는 오픈소스를 모아 검증하고 SBOM을 생성, 승인된 오픈소스만 사용하도록 하고 있다"고 설명했습니다.

한국인터넷진흥원으로부터 자문받은 에스트랙픽은 미국 워싱턴DC의 지하철 개찰 시스템을 수출하면서 SBOM을 생성, 제출했고 일본에 진출한 한드림넷은 펌웨어의 취약점을 발견, 개선했습니다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

문형민(moonbro@yna.co.kr)