안드로이드 앱 3335개를 구성하는 오픈소스를 조사했더니 절반 가까이에서 최소 1개 이상의 취약점이 발견됐다. 오픈소스의 보안 강화가 팬데믹 시대에 더욱 시급하게 다가온다. 하지만 사용자가 할 수 있는 일은 사실상 아무 것도 없다.

 

 

안드로이드 앱치고 오픈소스 요소를 포함치 않는 건 거의 없다고 봐도 무방하다. 그런데 앱 개발에 사용되는 요소들 중 상당수가 취약한 상태라고 한다. 업데이트가 되지 않아 최소 한 가지 이상의 고위험군 취약점이 있다는 것. 보안 업체 시놉시스(Synopsys)가 총 3335개의 모바일 앱을 검토한 결과다.
 

[이미지 = utoimage]


이번 연구를 위해 선택된 앱들은 게임, 금융, 생산성 등 18개 부문에서 가장 인기가 높은 것들이었다. 그 결과 98%에서 오픈소스 코드가 발견됐다. 한 앱 당 내포되어 있던 오픈소스 코드의 수는 평균 20개였다. 최소 한 개 이상의 고위험군 취약점을 가지고 있던 앱은 46%였다. 발견된 취약점들 중 3/4는 발견된 지 2년이 넘은 것들이었다.

“새로울 것이 없는 조사 결과입니다. 개발자들이 앱을 개발할 때 보안은 여전히 간과되고 있다는 뜻입니다.” 시놉시스의 설명이다. 시놉시스가 말하는 고위험군 취약점이란 이미 해커들의 공격을 받고 있거나 개념증명용 익스플로잇이 존재하는 것을 말한다. 이런 취약점들 중 현재 시점에도 픽스가 존재하지 않는 건 5% 미만이다.

시놉시스의 기술 전문가인 조나단 크누젠(Jonathan Knudsen)은 “시큐어 코딩이 개발 문화의 주축이 되어야 한다”고 주장한다. “오픈소스 요소들을 확인 및 검사하고, 꾸준히 업데이트 하는 것이 기본이 되어야 합니다.” 그러면서 크누젠은 “소프트웨어란 이상해서 고장날 때 고치는 게 아니라 고장날 것이 예정되어 있다고 생각해야 한다”고 말한다.

“툭하면 깨지고 부서지는 뭔가를 만든다고 생각해야 합니다. 만드는 사람부터 조심할 수밖에 없어요. 모든 과정과 요소들을 조심히 다루고 지켜보게 되겠죠? 어떤 취약점이 있거나 발견됐는지도 민감하게 알 수 있어야 하고요. 최대한 부서지거나 고장나지 않도록, 만드는 순간부터 관리에 들어가야 합니다.”  [기사 더보기]

 

 

[출처 : 보안뉴스(www.boannews.com)]

[기자 : 문가용 기자(globoan@boannews.com)]