카이스트 사이버보안연구센터 신강식 연구원, ‘오픈소스 취약점 분석도구 비교분석’ 결과 발표
ISEC 2022 첫째 날(18일) 아침 9시 20분 ‘보안솔루션 성능테스트’ 강연에 대한 기대감 커져
[보안뉴스 원병철 기자] 2017년 5월 발생한 워너크라이(WannaCry) 랜섬웨어 사건으로 전 세계가 사이버공격, 특히 랜섬웨어의 위험성을 알게 됐다면, 2021년 12월 사상 최악의 보안 취약점으로 알려진 ‘로그4j(Log4j)’ 취약점은 최근 사용이 늘어난 오픈소스의 보안위협을 알려준 사건이라 할 수 있다.
[이미지=utoimage]
디지털 전환 가속화와 함께 급속도로 증가한 코딩 붐은 오픈소스의 활용을 불러왔다. 오픈소스는 소프트웨어의 설계도인 소스코드를 공개해 누구나 이를 활용하고 개량해 재배포할 수 있는 것을 말한다. 공유의 개념으로 그만큼 자유롭고 많은 사람들이 사용하지만, 반대로 누구나 사용할 수 있기에 보안위협이나 보안취약점 문제가 항상 도사리고 있기도 하다.
하지만 활용분야가 워낙 넓고 활용하는 사람들도 많기에 국내외를 막론하고 매년 그 시장 규모가 커지고 있는 것이 사실이다. 시장조사기업 마켓앤마켓츠(Market & Markets)에 따르면 국내 오픈소스 시장은 2022년 3,993억원으로, 연평균 16.4% 증가하고 있으며, 해외 시장도 2022년 기준 256억 달러 규모에 연평균 18.2% 증가하고 있다.
사상 최악의 취약점 ‘로그4j’, 오픈소스의 위험성 알려
문제는 오픈소스 취약점으로 인한 보안사고가 계속 발생하고 있다는 사실이다. 가장 최근인 지난 2021년 11월 발생한 ‘Log4j’ 취약점은 사상 최악의 취약점으로 불리며 전 세계를 뒤흔든 오픈소스 취약점이다. 취약점이 발견된 로그4j(Log4j) 2는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램으로, 대부분의 서버에서 광범위하게 사용되는 프로그램이다.
Log4j 취약점이 사상 최악의 취약점으로 불리는 이유는 단순 패치 적용만으로 끝나는 문제가 아니기 때문이다. 일단 조직 내 사용되고 있는 로그4j를 전부 찾아내는 것부터, 그 하나하나의 사용 맥락과 환경을 고려해 패치 전략을 세워 실천하는 것까지 어려움과 도전의 연속이다. 심지어 서드파티 서비스나 제품에서까지 이를 발견해 조치를 취해야 하니 어려움은 배가 된다.
보안기업 S2W는 “log4j 취약점으로 영향을 받는 국내 호스트만 해도 4만여 개 이상”으로 추정하고 있으며, “특히 CVE-2021-44228은 아파치 서버에만 영향을 미치는 취약점이 아니며, 서버의 종류와 상관없이 log4j를 사용하는 모든 서버 및 서비스에 영향을 미친다”고 지적했다.
2014년 공개된 하트블리드(Hartbleed)는 오픈SSL의 보안을 한층 강화시킨 계기가 된 취약점으로 잘 알려져 있다. 오픈SSL이란 오픈소스 라이브러리의 일종으로, TLS와 SSL 프로토콜을 구축하는 데 도움을 주며, 각종 통신을 보호하는 장치로서 널리 사용되고 있다. 하트블리드 취약점(CVE-2014-0160)은 익스플로잇 될 경우, 아무런 흔적 없이 민감한 정보를 가져갈 수 있게 해준다. 하트블리드 취약점을 통해 노출되는 정보는 △사용자 이름 △비밀번호 △암호화되기 전의 콘텐츠다. 공격자는 사실상 통신을 엿들을 수 있게 되고, 그러면서 데이터 탈취 및 신원 도용도 가능하게 된다. 이런 소식이 나오자마자 하트블리드를 익스플로잇 하는 실제 공격이 여기저기서 발생했고, NSA와 같은 정보기관은 이 취약점을 진즉부터 알고 있었다는 주장도 나왔다. 물론 NSA는 이를 부인했다.
이 때문에 오픈소스 도입시 고려사항 1위가 안전성과 보안성이 될 정도로 신뢰성에 대한 니즈가 증가하기 시작했고, 특성에 따른 여러 소프트웨어 보안 테스팅 도구가 주목받게 됐다. 문제는 이러한 여러 SCA(Software Composition Analysis, 소프트웨어 구성 분석) 도구 중에서 어떤 도구가 얼마만큼의 성능을 보여주는지 사용자들이 알 수 없다는 사실이다.
ISEC 2022, 오픈소스 취약점 분석도구 6종에 대한 성능 테스트 결과 공개
이러한 가운데 10월 18일과 19일, 서울 코엑스에서 개최되는 ‘제16회 국제 시큐리티 콘퍼런스(ISEC 2022)’ 첫째날 첫 번째 키노트 강연으로 대표적인 오픈소스 취약점 분석도구 6종에 대한 성능 테스트 분석 결과가 발표될 예정이라 높은 관심을 얻고 있다.
KAIST 사이버보안연구센터 신강식 연구원은 18일 오전 9시 20분 ‘오픈소스 취약점 분석도구 6종 비교분석’ 보안솔루션 성능테스트 발표에서 6종의 오픈소스 취약점 분석도구 분석을 통해 3개 카테고리와 10개 분석 기준을 선정하고 분류함으로써 총 39개의 성능 분석 기준을 수립한다. 또한, 깃허브의 최상위에 랭크된 자주 사용되는 7개 언어(Java, JS, Python 등)를 선택한 후, 이중 릴리즈가 많은 오픈소스 10개를 선정하고, 이를 6개 도구로 테스트한 결과를 발표할 예정이다.
한편, 대한민국을 넘어 아시아 최대 보안 콘퍼런스로 자리 잡은 ‘제16회 국제 시큐리티 콘퍼런스(ISEC 2022)’가 오는 10월 18일과 19일 양일간 서울 코엑스에서 개최된다. 특히, 올해로 16회 째를 맞이한 ISEC 2022는 그랜드볼룸과 콘퍼런스룸(북)에서 열리던 예년과 달리 코엑스 전시장(Hall C)과 콘퍼런스룸(남, 3F)으로 확장 개최되면서 더욱 많은 기업이 참여하고, 경연 역시 더 풍성해질 전망이다.
특히, 행사 기간 중 보안책임자 및 보안담당자를 대상으로 선발한 강연평가단들의 현장 투표와 설문조사, 영상평가 등을 통해 선발한 명 강연자들을 시상하는 ‘ISEC 2022 베스트 스피커 어워즈’도 개최 예정에 있는 등 콘텐츠 질적 향상 및 강연수준 제고에 끊임없이 나서고 있다. 이와 관련된 세부사항은 ISEC 홈페이지를 참조하거나 ISEC 조직위원회에 문의하면 된다.
[원병철 기자(boanone@boannews.com)]
ISEC 2022 첫째 날(18일) 아침 9시 20분 ‘보안솔루션 성능테스트’ 강연에 대한 기대감 커져
[보안뉴스 원병철 기자] 2017년 5월 발생한 워너크라이(WannaCry) 랜섬웨어 사건으로 전 세계가 사이버공격, 특히 랜섬웨어의 위험성을 알게 됐다면, 2021년 12월 사상 최악의 보안 취약점으로 알려진 ‘로그4j(Log4j)’ 취약점은 최근 사용이 늘어난 오픈소스의 보안위협을 알려준 사건이라 할 수 있다.
[이미지=utoimage]
디지털 전환 가속화와 함께 급속도로 증가한 코딩 붐은 오픈소스의 활용을 불러왔다. 오픈소스는 소프트웨어의 설계도인 소스코드를 공개해 누구나 이를 활용하고 개량해 재배포할 수 있는 것을 말한다. 공유의 개념으로 그만큼 자유롭고 많은 사람들이 사용하지만, 반대로 누구나 사용할 수 있기에 보안위협이나 보안취약점 문제가 항상 도사리고 있기도 하다.
하지만 활용분야가 워낙 넓고 활용하는 사람들도 많기에 국내외를 막론하고 매년 그 시장 규모가 커지고 있는 것이 사실이다. 시장조사기업 마켓앤마켓츠(Market & Markets)에 따르면 국내 오픈소스 시장은 2022년 3,993억원으로, 연평균 16.4% 증가하고 있으며, 해외 시장도 2022년 기준 256억 달러 규모에 연평균 18.2% 증가하고 있다.
사상 최악의 취약점 ‘로그4j’, 오픈소스의 위험성 알려
문제는 오픈소스 취약점으로 인한 보안사고가 계속 발생하고 있다는 사실이다. 가장 최근인 지난 2021년 11월 발생한 ‘Log4j’ 취약점은 사상 최악의 취약점으로 불리며 전 세계를 뒤흔든 오픈소스 취약점이다. 취약점이 발견된 로그4j(Log4j) 2는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램으로, 대부분의 서버에서 광범위하게 사용되는 프로그램이다.
Log4j 취약점이 사상 최악의 취약점으로 불리는 이유는 단순 패치 적용만으로 끝나는 문제가 아니기 때문이다. 일단 조직 내 사용되고 있는 로그4j를 전부 찾아내는 것부터, 그 하나하나의 사용 맥락과 환경을 고려해 패치 전략을 세워 실천하는 것까지 어려움과 도전의 연속이다. 심지어 서드파티 서비스나 제품에서까지 이를 발견해 조치를 취해야 하니 어려움은 배가 된다.
보안기업 S2W는 “log4j 취약점으로 영향을 받는 국내 호스트만 해도 4만여 개 이상”으로 추정하고 있으며, “특히 CVE-2021-44228은 아파치 서버에만 영향을 미치는 취약점이 아니며, 서버의 종류와 상관없이 log4j를 사용하는 모든 서버 및 서비스에 영향을 미친다”고 지적했다.
2014년 공개된 하트블리드(Hartbleed)는 오픈SSL의 보안을 한층 강화시킨 계기가 된 취약점으로 잘 알려져 있다. 오픈SSL이란 오픈소스 라이브러리의 일종으로, TLS와 SSL 프로토콜을 구축하는 데 도움을 주며, 각종 통신을 보호하는 장치로서 널리 사용되고 있다. 하트블리드 취약점(CVE-2014-0160)은 익스플로잇 될 경우, 아무런 흔적 없이 민감한 정보를 가져갈 수 있게 해준다. 하트블리드 취약점을 통해 노출되는 정보는 △사용자 이름 △비밀번호 △암호화되기 전의 콘텐츠다. 공격자는 사실상 통신을 엿들을 수 있게 되고, 그러면서 데이터 탈취 및 신원 도용도 가능하게 된다. 이런 소식이 나오자마자 하트블리드를 익스플로잇 하는 실제 공격이 여기저기서 발생했고, NSA와 같은 정보기관은 이 취약점을 진즉부터 알고 있었다는 주장도 나왔다. 물론 NSA는 이를 부인했다.
이 때문에 오픈소스 도입시 고려사항 1위가 안전성과 보안성이 될 정도로 신뢰성에 대한 니즈가 증가하기 시작했고, 특성에 따른 여러 소프트웨어 보안 테스팅 도구가 주목받게 됐다. 문제는 이러한 여러 SCA(Software Composition Analysis, 소프트웨어 구성 분석) 도구 중에서 어떤 도구가 얼마만큼의 성능을 보여주는지 사용자들이 알 수 없다는 사실이다.
ISEC 2022, 오픈소스 취약점 분석도구 6종에 대한 성능 테스트 결과 공개
이러한 가운데 10월 18일과 19일, 서울 코엑스에서 개최되는 ‘제16회 국제 시큐리티 콘퍼런스(ISEC 2022)’ 첫째날 첫 번째 키노트 강연으로 대표적인 오픈소스 취약점 분석도구 6종에 대한 성능 테스트 분석 결과가 발표될 예정이라 높은 관심을 얻고 있다.
KAIST 사이버보안연구센터 신강식 연구원은 18일 오전 9시 20분 ‘오픈소스 취약점 분석도구 6종 비교분석’ 보안솔루션 성능테스트 발표에서 6종의 오픈소스 취약점 분석도구 분석을 통해 3개 카테고리와 10개 분석 기준을 선정하고 분류함으로써 총 39개의 성능 분석 기준을 수립한다. 또한, 깃허브의 최상위에 랭크된 자주 사용되는 7개 언어(Java, JS, Python 등)를 선택한 후, 이중 릴리즈가 많은 오픈소스 10개를 선정하고, 이를 6개 도구로 테스트한 결과를 발표할 예정이다.
한편, 대한민국을 넘어 아시아 최대 보안 콘퍼런스로 자리 잡은 ‘제16회 국제 시큐리티 콘퍼런스(ISEC 2022)’가 오는 10월 18일과 19일 양일간 서울 코엑스에서 개최된다. 특히, 올해로 16회 째를 맞이한 ISEC 2022는 그랜드볼룸과 콘퍼런스룸(북)에서 열리던 예년과 달리 코엑스 전시장(Hall C)과 콘퍼런스룸(남, 3F)으로 확장 개최되면서 더욱 많은 기업이 참여하고, 경연 역시 더 풍성해질 전망이다.
특히, 행사 기간 중 보안책임자 및 보안담당자를 대상으로 선발한 강연평가단들의 현장 투표와 설문조사, 영상평가 등을 통해 선발한 명 강연자들을 시상하는 ‘ISEC 2022 베스트 스피커 어워즈’도 개최 예정에 있는 등 콘텐츠 질적 향상 및 강연수준 제고에 끊임없이 나서고 있다. 이와 관련된 세부사항은 ISEC 홈페이지를 참조하거나 ISEC 조직위원회에 문의하면 된다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
