▲ 강연하는 블랙덕소프트웨어 마이크 피튼져 부사장

현재 오픈소스 기반의 클라우드 서비스와 애플리케이션, IoT기기가 급속도로 증가하면서 오픈소스 보안취약점에 대한 관리 필요성이 대두되고 있지만 많은 기업들에 있어 체계적인 관리는 거의 이루어 지지 않고 있는 실정이다.

이에 대해 블랙덕소프트웨어의 부사장이자 보안전략팀 총 책임자인 마이크 피튼져(Mike Pittenger)는 4월 4일 블랙덕소프트웨어코리아와 함께 서울 코엑스에서 보안 기자간담회를 열고 올해 오픈소스 보안과 관련하여 일어날 수 있는 4가지 전망에 대해 설명했다.

1. 이미 알려진 오픈소스 보안취약점을 기반으로 한 보안 공격 수의 20% 증가=오픈소스는 언제 어디서나 사용할 수 있어 표적에 노출될 수 있고, 오픈소스 보안취약점 정보는 미국 국립표준기술연구소(NIST)에서 운영하는 NVD(National Vulnerability Database)에 공개되어 있다. 또한, 레퍼런스 정보에는 종종 해당 보안취약점을 증명하는 악용성(exploits)을 포함한다. 무엇보다 오픈소스는 상용코드와 달리 보안 이슈를 포함한 모니터링부터 업데이트까지 모두 사용자의 몫이다.

2. Heartbleed, Shellshock, Poodle 등 기존에 알려진 오픈소스 보안취약점의 재 이슈화 및 그에 따른 해당업체의 큰 손실=블랙덕소프트웨어에서 상용 애플리케이션 200개를 대상으로 조사한 2016년 오픈소스 보안 감사(Audit) 보고서에 따르면, 상용 애플리케이션에서 발견된 오픈소스 컴포넌트의 보안취약점은 평균적으로 5년 이상 방치 된 것으로 나타났다. 대부분의 기업에서는 사용하는 오픈소스의 보안취약점에 대한 모니터링을 적극적으로 시행하지 않아 제품 및 서비스에 어떤 오픈소스가 사용되고 어떤 보안취약점이 존재하는지 알지 못하여, 발생할 수 있는 이슈에 무방비한 상태로 노출되어 있는 경우가 많다. 

3. 오픈소스 문제에 따른 자동차 제조업체의 첫 번째 리콜사태=2016년에 출시된 전형적인 자동차 모델은 1억개가 넘는 코드라인을 포함하고 있고 점점 지능화 및 자동화 되고 있으며 인터넷과의 연결도 가속화 되고 있다. 이러한 자동차 산업과 제품의 발전은 기존의 문제점들을 더욱 더 부각시킬 것으로 예상된다. 자동차 제조사들은 자동차에 탑재하는 소프트웨어의 대부분을 협력업체로부터 공급받는다. 이로 인해, 제품에 정확히 어떤 소프트웨어가 포함되었는지 알지 못한 채 양산을 진행할 수가 있다. 오픈소스를 활용한 소프트웨어 개발이 필수가 된 현 시점에서 자동차 소프트웨어에 보안취약점을 가진 오픈소스 컴포넌트가 포함되어 있다는 것은 거의 명백한 사실이라고 봐도 무방하고, 이는 움직이는 자동차에 심각한 영향을 줄 수 있다.

4. 기존의 보안 이슈로 인한 주요 M&A 딜의 위기=야후 해킹 사건이 보여주듯이, M&A 딜은 소프트웨어 보안 이슈로 인해 무산될 수 있다. 기업들은 막대한 시간과 예산을 투자하여 만든 자사의 소프트웨어를 경쟁력으로 내세우지만, 라이선스 컴플라이언스나 애플리케이션 보안 관점으로 볼 때 상용코드에 포함된 오픈소스 이슈는 소프트웨어 프랜차이즈의 가치에 큰 타격을 줄 수 있다. 오픈소스는 소프트웨어 시대에 필수요소이지만, 대부분의 기업들은 자사 코드에 포함된 오픈소스의 잠재적인 보안 이슈에 무지하다.

마이크 피튼져는 “오픈소스 사용과 관련하여 검토해야 할 사항들이 분명히 있지만, 오픈소스는 두려워야 할 대상이 아니라 소프트웨어를 위한 훌륭한 도구이며, 모든 소프트웨어에는 보안취약점이 존재하기 마련이고 오픈소스가 문제가 되는 시점은 오픈소스 사용에 대한 가시화 체계가 확보되지 못했거나, 코드에 현존하는 보안취약점에 대해 조치를 하고 있지 않을 때”라고 강조했다.

블랙덕소프트웨어 부사장 마이크 피튼져은 Symantec, Veracode, Cigital 등의 다양한 보안솔루션 기업에서 VP로서 근무하면서, 15년 이상 보안전문가로서 활동하였다. 현재 블랙덕소프트웨어 부사장과 영국 벨페스트에 위치한 블랙덕 보안 리서치 그룹장을 겸임하며, 블랙덕소프트웨어의 보안솔루션에 대한 제품 방향성 및 전략적 리더쉽을 제시하고 있다.