개발의 필수 재료인 오픈소스 프로젝트...1년 동안 발견된 취약점이 1천 개 가까이
젠킨스와 MySQL에서 가장 많은 취약점 나와...일부는 익스플로잇 코드까지 존재해

[보안뉴스 문가용 기자] 인기 높은 오픈소스 프로젝트에서 발견된 취약점이 2019년 한 해 동안 1천 개 가까이에 이르렀다고 한다. 이는 전년도인 2018년에 비해 2배 이상 오른 수치라고 보안 업체 리스크센스(RiskSense)가 발표했다.


[이미지 = utoimage]

리스크센스는 이번 연구를 위해 약 54개의 오픈소스 프로젝트들을 분석했다. 2015년과 2020년 3월 사이에 약 2700여 개의 취약점이 발견된 것들이었다. 따라서 패치가 되고 보완이 되었어야 했다. 그러나 새로운 취약점들과 오래된 취약점들이 고루 섞여 있는 모습이었다고 한다.

결과부터 보면 해당 기간 동안(2015년~2020년 3월) 젠킨스(Jenkins) 자동화 서버와 MySQL이라는 두 가지 오픈소스 프로젝트에서 가장 많은 취약점들이 발견됐다. 둘에서 각각 600개가 넘는 취약점이 나타났다. 또한 각각 15개의 취약점들이 실제 무기화 됐다. 즉, 공개되 익스플로잇 코드가 존재한다는 뜻이다.

그 외에 바그란트(Vagrant), 알프레스코(Alfresco), 아티팩토리(Artifactory)와 같은 프로젝트의 경우 취약점의 개수 자체가 많은 건 아니었지만, 높은 비율로 무기화 되어 주목을 받았다. 예를 들어 바그란트와 알프레스코의 경우 발견된 취약점은 9개 정도이지만 각각 6개와 3개의 취약점에 익스플로잇 코드가 존재한다.

리스크센스는 이러한 취약점이 국가 취약점 데이터베이스(NVD)에 추가되는 데 걸리는 시간도 분석했다. 취약점 하나가 발견되고 NVD에 더해지는 데까지 평균 54일이 걸렸지만, 119개의 CVE는 1년이 지나야 NVD에 등재됐다. 포스트그레SQL(PostgreSQL)의 경우 치명적인 취약점 하나가 발견된 바 있는데, 1817일 후에야 NVD에서 모습을 드러냈다.

2019년의 오픈소스 취약점 현황을 분석하며 리스크센스는 “총 968개의 취약점이 오픈소스에서 발견됐다”는 걸 알아냈다. 이는 2018년에 비해 130% 증가한 것이다. 2018년에 발견된 오픈소스 취약점은 421개였다. 다만 작년에 발견된 수많은 오픈소스 취약점들 중 무기화 된 것은 15개뿐이었다.

올해는 어떤 양상으로 취약점이 발견되고 있을까? 2020년 1~3월까지 발견된 취약점은 총 179개이며, 이 중 무기로 돌변한 것은 5개였다.

오픈소스에서 발견된 취약점들 중 대부분은 정보 노출을 유발시키는 것이었다. 그 다음은 XSS 취약점과 입력값 확인 오류 혹은 부재와 관련된 것이었다. 무기화가 가장 많이 되는 취약점은 XSS 취약점과 입력값 확인 오류 혹은 부재 취약점이었다.

흔한 취약점이라고 반드시 공격자들 사이에서 인기가 높은 것은 아니며, 흔치 않은 취약점이라고 해서 기피되는 것도 아니었다. 다음 취약점들은 수는 적지만 실제 공격에 자주 활용되는 것들이다.
1) 역직렬화 취약점 : 총 28개
2) 코드 주입 취약점 : 총 16개
3) 오류 처리 취약점 : 총 2개
4) 컨테이너 취약점 : 총 1개

리스크센스는 위 네 가지 취약점이 흔히 나타나지 않는다는 것 자체는 긍정적이나, 그만큼 발견되었을 때 공격자들의 관심이 집중된다는 것에 유의해야 한다고 경고했다. 또한 젠킨스, 제이보스(JBoss), 아파치 톰캣(Apache Tomcat), 도커(Docker), 큐버네티스(Kubernetes), 일라스틱서치(Elasticsearch), 마젠토(Magento), 깃(Git)과 같은 유명 오픈소스 프로젝트들도 10개 이상의 취약점에 영향을 받는 중이라는 내용도 이번 보고서에 포함되어 있었다.

3줄 요약
1. 오픈소스 프로젝트 점검했더니 2019년 한 해 동안 1천 개 가까이 나옴.
2. 모든 취약점이 곧 공격으로 이어지는 것 아니지만, 찜찜한 것도 사실.
3. 올해도 첫 3개월 동안 발견된 오픈소스 취약점이 총 179개.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>