KISA, 오픈소스 구성요소 23만개 분석…"공급망 관리 강화"
3.5%서 취약점 발견…고위험 취약점, 해킹·디도스 악용 가능
3.5%서 취약점 발견…고위험 취약점, 해킹·디도스 악용 가능
(서울=연합뉴스) 조성미 기자 = 소스 코드를 누구나 수정, 배포할 수 있도록 공개한 오픈소스 소프트웨어를 점검한 결과 0.5%가량에서 실제 해킹 악용될 수 있는 취약점이 발견됐다.
한국인터넷진흥원(KISA)은 7일 23만1천여개의 오픈소스 구성 요소를 분석한 결과 3.5%에서 악성코드 원격 실행, 민감 정보 노출 등에 악용될 수 있는 보안 취약점이 발견됐다고 밝혔다.
오픈소스 구성 요소 0.49%에서는 실제 해킹이나 분산 서비스 거부(DDoS) 공격에 쓰일 수 있는 고위험 취약점(KEV)이 확인됐다.
한국인터넷진흥원(KISA)은 7일 23만1천여개의 오픈소스 구성 요소를 분석한 결과 3.5%에서 악성코드 원격 실행, 민감 정보 노출 등에 악용될 수 있는 보안 취약점이 발견됐다고 밝혔다.
오픈소스 구성 요소 0.49%에서는 실제 해킹이나 분산 서비스 거부(DDoS) 공격에 쓰일 수 있는 고위험 취약점(KEV)이 확인됐다.
한국인터넷진흥원은 조사 대상 소프트웨어 모두가 최소 1개 이상의 오픈소스 구성 요소를 사용하고 있었다고 전했다.
오픈소스 활용이 일상화되고 사이버 공격의 강도가 높아지자 미국, 유럽연합(EU) 등 주요국에서는 '소프트웨어 자재 명세서'(SBOM) 제출·관리를 의무화하는 등 소프트웨어 공급망 관리 지침을 강화하는 추세다.
![IT 보안 구멍 (PG)[강민지 제작] 일러스트](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/3/2025/12/07/PCM20240801000201990_P2.jpg) |
IT 보안 구멍 (PG) |
EU에서는 사이버 복원력법(CRA), EUCC 인증 제도 등을 적용하며 내년 9월부터는 EU에 소프트웨어를 수출하는 모든 기업은 판매 뒤에도 취약점이 발견되면 기관에 통보할 의무를 지게 된다.
한국인터넷진흥원은 기업들이 공급망 보안 요구 사항을 일일이 점검하기 어렵다는 점을 고려해 외부 소스 코드의 최초 도입부터 배포 후 모니터링까지 관리하는 공급망 보안 관리 체계를 구축했다.
진흥원 관계자는 "개발자들이 깃허브 등에서 가져오는 소스 코드가 안전하다고 믿을 수 없는 상황에서 자주 쓰이는 오픈소스를 모아 검증하고 SBOM을 생성, 승인된 오픈소스만 사용하도록 하고 있다"고 설명했다.
한국인터넷진흥원으로부터 자문받은 에스트랙픽은 미국 워싱턴DC의 지하철 개찰 시스템을 수출하면서 SBOM을 생성, 제출했고 일본에 진출한 한드림넷은 펌웨어의 취약점을 발견, 개선했다.
csm@yna.co.kr
▶제보는 카카오톡 okjebo
▶연합뉴스 앱 지금 바로 다운받기~
▶네이버 연합뉴스 채널 구독하기
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.