해외 개발자 뉴스 포럼 데브옵스에 따르면, 미국 컴퓨터 소프트웨어 기업 스닉(Snyk)과 리눅스 재단(Linux Foundation)이 오픈소스 보안 불안전성 실태 조사 결과를 공개했다.

소프트웨어 개발자 550명의 참여로 이루어진 해당 설문조사에서 개발자 30%는 현재 오픈소스 보안 문제에 즉시 대응할 적합한 보안 정책이 전혀 없다고 밝혔다.

실무에서 제대로 사용하거나 오픈소스 소프트웨어 개발에 적용하는 보안 정책이 제대로 갖추어졌다고 답변한 응답자는 49%로 확인됐다.

그러나 보안 정책을 갖추었더라도 많은 개발자가 보안 수준을 신뢰하지 않는 것으로 나타났다. 개발자 41%는 자체 오픈소스 보안을 신뢰하지 않는다고 답변했다.

스닉 개발 관계 총괄 관리자 매트 자비스(Matt Jarvis)는 자사의 오픈소스 소프트웨어가 사이버 공격 대상이 된 사실을 인지하지 못하는 기업이 많다고 지적했다.

조사 결과, 애플리케이션 개발 프로젝트 1개당 보안 취약점 49개, 오픈소스 소프트웨어에 대한 종속성 80개가 존재하는 것으로 드러났다. 응답자의 18%만이 그들이 전이 종속성에 대비한 보안에 자신이 있다고 답변했다.

정적 애플리케이션 보안 테스트(SAST, Static Application Security Testing) 툴을 이용하거나 소프트웨어 구성 분석(SCA, Software Composition Analysis) 툴을 이용하여 취약점을 분석하는 기업은 단 33%였다. 44%는 소스코드 분석 툴을 사용하는 것으로 나타났다.

마지막으로 서비스 요구사항과 관련, 59%는 툴이 더욱 고도화되었으면 좋겠다는 의견을 전했다. 52%는 오픈소스 소프트웨어 측에서 사이버 보안에 가장 최적화된 사용법에 대하여 더욱 명확히 알려주기를 바란다고 답변했다. 49%는 보안 검사 실시 과정이 자동화되고 이를 위한 툴이 추가되기를 바란다고 응답했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]