알려진 오픈소스 보안 취약점을 이용한 사이버공격이 올해 20% 증가할 것이라는 분석이 나왔다. 또 오픈소스 보안 취약점으로 인해 자동차 리콜 사태가 발생하거나 기업 간 인수합병에 문제가 발생하는 사례도 나올 것이라는 지적이다.

오픈소스 컨설팅 및 컴플라이언스 기업 블랙덕소프트웨어코리아와 보안 기업 엔시큐어는 4일 기자간담회를 열고 2017년 오픈소스 보안 전망을 발표했다.

이날 서울 삼성동 한 식당에서 열린 기자간담회에서 마이크 피튼져 블랙덕소프트웨어 부사장은 “기존에 알려진 오픈소스 보안 취약점을 기반으로 한 사이버공격이 올해 20% 증가할 것”이라며 “해커들 입장에서는 자신들이 직접 취약점을 알아내기 보다는 기존 것을 악용하는 것이 쉽다. 해커들이 타깃을 공격할 때 최대 생산성을 내려고 한다. 노력을 최소화하고 효과는 최대화하기 위해 오픈소스 취약점을 악용할 수 있다”고 경고했다.

또 블랙덕소프트웨어는 '하트블리드(Heartbleed)', '쉘쇼크(Shellshock)' 등 기존에 알려진 오픈소스 취약점이 다시 이슈화되고 큰 손실을 가져올 것이라고 전망했다. 하트블리드는 2014년 4월 발견된 오픈소스 암호화 라이브러리인 오픈SSL의 버그로 각종 보안 사고의 원인이 됐다. 이에 따라 최악의 보안 취약점 중 하나라는 악명을 떨치고 있다. 쉘쇼크는 리눅스 등 운영체제의 명령어 실행 인터페이스 'GNU Bash'의 취약점으로 2014년 10월 미래창조과학부와 한국인터넷진흥원이 이 취약점을 이용한 공격을 경고하기도 했다.

마이크 피튼져 부사장은 “기업들을 조사를 해보면 자신들이 사용하고 있는 오픈소스 컴포넌트의 45%만 파악하고 있었다"며 “파악하지 못한 나머지 반은 보안 취약성으로부터 보호할 수 없다”고 지적했다.

마이크 피튼져 부사장은 오픈소스 보안 취약점이 자동차 리콜 사태를 부르고 기업 인수합병에도 영향을 줄 것이라고 내다봤다.

그는 “오픈소스 보안 취약점으로 인해 자동차 제조업체 리콜 사태가 올해 처음으로 발생할 수 있다”며 “신규 자동차가 출시됐을 때 들어가는 소프트웨어(SW)의 양이 급증해 1억 라인에 달하고 있다. 통계적으로 상용 SW의 35%가 오픈소스라는 것으로 볼 때 자동차 SW에서 상당한 오픈소스가 들어갈 것이다. 매년 2000~3000건의 오픈소스 취약점이 발견되고 제조사에서 업데이트가 제대로 되지 않는 것을 감안하면 리콜 사태가 발생할 개연성이 충분하다”고 설명했다.

김택완 블랙덕소프트웨어코리아 대표는 “오픈소스 보안 취약점으로 인해 자동차 잠금장치가 열리는 것 같은 심각한 문제가 발생하게 된다면 리콜 사태가 발생할 수 있다”고 덧붙였다.

또 마이크 피튼져 부사장은 “기존에 발견된 오픈소스 취약점으로 인해 메이저 인수합병(M&A) 거래가 위기를 맞을 수 있다. M&A가 진행되는 중 보안 취약점이 많다고 밝혀지면 리스크가 너무 크다고 결론을 내릴 수 있다”며 “파나마 페이퍼스 공격 사례를 생각해보면 개연성이 충분하다”고 설명했다.

파나마 페이퍼스 사건은 2016년 파나마 대형 로펌인 모색 폰세카가 해킹을 당해 약 1150만 건의 비밀 문서가 유출된 사건이다. 이로 인해 전 세계적으로 정치인, 기업인들의 자금세탁, 도피 등 의혹이 일어났다. 그런데 바로 이 해킹에 오픈소스 보안 취약점이 사용된 것으로 알려지고 있다.

김택완 대표는 “오픈소스 취약점에 대응하기 위해서는 가시성을 높여야 한다”며 “어떤 오픈소스를 사용하고 있고 어떤 오픈소스가 자가 SW에 들어가는지를 알아야 한다. 그리고 자신이 사용하고 있는 오픈소스에 보안 취약점이 발견되면 보안 패치를 하는 등 조치를 해야 한다”고 강조했다.

[테크M = 강진규 기자(viper@techm.kr)]