Web 어플리케이션 시큐리티 등의 개선 활동을 추진하는 비영리단체 「The Open Web Application Security Project」( OWASP)는
오픈소스 소프트웨어(OSS)가 가지고 있는 리스크 Top 10을 정리한 「Top 10 Open Source Software Risks」의 버전 v0.1을 발표하였다.
OWASP은 「소프트웨어 공급망에 있어서 OSS에 대한 의존도가 높음에도 불구하고 OSS의 리스크를 이해하고 측정하는 방법이 부족하고 있다.
OSS에 있어서 리스크 관리는, 라이선스 관리로부터 시작하여 CVE(공통취약성식별자)로도 발전해 왔지만 시큐리티 , 법률, 운용을 포함한
전체적인 접근은 불가분하다. 이 문서는 운용 및 시큐리티 상의 Top 리스크를 발견하는 것을 목표로 한 것이다」라고 설명하고 있다.
📢 OWASP가 밝힌 OSS가 가지고 있는 리스크 Top 10은 다음과 같다.
(1) 기지의 취약성
컴포넌트 버전에 개발자가 잘못하여 도입한 취약한 코드가 포함되어 있을 가능성이 있다. 이들은 CVE나 GitHub의 시큐리티 어드바이저리 등을 통해서 공개되어 있다. 익스플로이트나 패치는 이용할 수 있는 경우도 있다면, 이용할 수 없는 경우도 있다.
(2) 정상 패키지의 침해
주입 공격자는、정상의 프로젝트 관리자의 계정을 탈취하는 등의 방법에 의해、악의를 가진 코드를 컴포넌트에 한다. 이것에 의해, 기존의 정상 프로젝트나 배포 인프라의 일부인 리소스가 침해당할 가능성도 있다。
(3) 명칭 혼동 공격
공격자는 정상의 오픈 소스나 시스템 컴포넌트와 유사한 이름의 컴포넌트를 작성하거나(typosquatting) 신뢰할 수 있는 작자를 시사하거나 (brandjacking)하는 것 외, 다른 언어나 생태계에 있어서 공통의 명명 패턴을 악용하는( compotyposquatting )것도 있다.
(4) 보수되어 있지 않은 소프트웨어
소프트웨어가 이미 활발하게 개발되어 있지 않은 경우, 버그에 대한 패치가 원래의 오픈소스 프로젝트로부터 적절한 타이밍에 제공되지 않을 가능성이 있다。
(5)오래된 소프트웨어
새로운 버전이 존재함에도 불구하고、 프로젝트가 오래된 버전의 컴포넌트를 사용하는 일이 있다。
(6) 추적되어 있지 않은 의존 관계
프로젝트 개발자가, 특정 컴포넌트의 의존성을 완전히 인식하고 있지 않은 경우가 있다。이유로써는、상류 컴포넌트의 SBOM( 소프트웨어 부품표)에 포함되어 있지 않은、SCA( 소프트웨어 구성 분석)툴의 미실행 또는 미탐지、패키지 관리자를 사용한 의존 관계의 확립 등이 열거된다.
(7) 라이선스 리스크
컴포넌트나 프로젝트에 라이선스가 완전히 없지만, 의도된 사용과 호환성이 없는 경우나,라이선스가 존재하는 경우에서도, 요건이 만족되어 있지 않은 경우가 있다.
(8) 미숙한 소프트웨어
오픈소스 프로젝트가, 개발의 Best Practice를 적용하고 있지 않은 경우도 있다. 표준적 버전 관리 스킴을 사용하고 있지 않은 경우나, 회귀 테스트, 리뷰 가이드라인, 문서가 없는 경우 등이다.
(9) 미승인의 변경
다운로드 링크에 버전 관리되어 있지 않은 리소스가 지정되어 있거나, 버전 관리된 리소스가 변경, 조작되어 있어가 하는 것 외, 안전하지 않은 데이터 전송이 행하여지는 경우도 있다.
(10) 과소/과대 의존
대단히 적은 컴포넌트(수 행의 코드 밖에 포함하지 않는)나 대단히 많은 기능을 제공하는 컴포넌트(그 내의 일부 밖에 사용되어 있지 않은 것)가 존재한다. 어느 쪽이라도 계정 탈취, 악의를 가진 Pull Request、CI/CD에 있어서 취약성 등의 공급망 리스크에 처하게 된다. 소수행의 컴포넌트는 업 스트림 프로젝트의 리스크에 대한 의존도가 높다. 다기능 컴포넌트에서는 미사용의 기능이나 의존 관계가 공격 대상이 될 가능성도 있다.
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
⭐기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!
*참고자료 : @IT0516
마크애니 박춘식 고문은 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다.
Web 어플리케이션 시큐리티 등의 개선 활동을 추진하는 비영리단체 「The Open Web Application Security Project」( OWASP)는
오픈소스 소프트웨어(OSS)가 가지고 있는 리스크 Top 10을 정리한 「Top 10 Open Source Software Risks」의 버전 v0.1을 발표하였다.
OWASP은 「소프트웨어 공급망에 있어서 OSS에 대한 의존도가 높음에도 불구하고 OSS의 리스크를 이해하고 측정하는 방법이 부족하고 있다.
OSS에 있어서 리스크 관리는, 라이선스 관리로부터 시작하여 CVE(공통취약성식별자)로도 발전해 왔지만 시큐리티 , 법률, 운용을 포함한
전체적인 접근은 불가분하다. 이 문서는 운용 및 시큐리티 상의 Top 리스크를 발견하는 것을 목표로 한 것이다」라고 설명하고 있다.
📢 OWASP가 밝힌 OSS가 가지고 있는 리스크 Top 10은 다음과 같다.
(1) 기지의 취약성
컴포넌트 버전에 개발자가 잘못하여 도입한 취약한 코드가 포함되어 있을 가능성이 있다. 이들은 CVE나 GitHub의 시큐리티 어드바이저리 등을 통해서 공개되어 있다. 익스플로이트나 패치는 이용할 수 있는 경우도 있다면, 이용할 수 없는 경우도 있다.
(2) 정상 패키지의 침해
주입 공격자는、정상의 프로젝트 관리자의 계정을 탈취하는 등의 방법에 의해、악의를 가진 코드를 컴포넌트에 한다. 이것에 의해, 기존의 정상 프로젝트나 배포 인프라의 일부인 리소스가 침해당할 가능성도 있다。
(3) 명칭 혼동 공격
공격자는 정상의 오픈 소스나 시스템 컴포넌트와 유사한 이름의 컴포넌트를 작성하거나(typosquatting) 신뢰할 수 있는 작자를 시사하거나 (brandjacking)하는 것 외, 다른 언어나 생태계에 있어서 공통의 명명 패턴을 악용하는( compotyposquatting )것도 있다.
(4) 보수되어 있지 않은 소프트웨어
소프트웨어가 이미 활발하게 개발되어 있지 않은 경우, 버그에 대한 패치가 원래의 오픈소스 프로젝트로부터 적절한 타이밍에 제공되지 않을 가능성이 있다。
(5)오래된 소프트웨어
새로운 버전이 존재함에도 불구하고、 프로젝트가 오래된 버전의 컴포넌트를 사용하는 일이 있다。
(6) 추적되어 있지 않은 의존 관계
프로젝트 개발자가, 특정 컴포넌트의 의존성을 완전히 인식하고 있지 않은 경우가 있다。이유로써는、상류 컴포넌트의 SBOM( 소프트웨어 부품표)에 포함되어 있지 않은、SCA( 소프트웨어 구성 분석)툴의 미실행 또는 미탐지、패키지 관리자를 사용한 의존 관계의 확립 등이 열거된다.
(7) 라이선스 리스크
컴포넌트나 프로젝트에 라이선스가 완전히 없지만, 의도된 사용과 호환성이 없는 경우나,라이선스가 존재하는 경우에서도, 요건이 만족되어 있지 않은 경우가 있다.
(8) 미숙한 소프트웨어
오픈소스 프로젝트가, 개발의 Best Practice를 적용하고 있지 않은 경우도 있다. 표준적 버전 관리 스킴을 사용하고 있지 않은 경우나, 회귀 테스트, 리뷰 가이드라인, 문서가 없는 경우 등이다.
(9) 미승인의 변경
다운로드 링크에 버전 관리되어 있지 않은 리소스가 지정되어 있거나, 버전 관리된 리소스가 변경, 조작되어 있어가 하는 것 외, 안전하지 않은 데이터 전송이 행하여지는 경우도 있다.
(10) 과소/과대 의존
대단히 적은 컴포넌트(수 행의 코드 밖에 포함하지 않는)나 대단히 많은 기능을 제공하는 컴포넌트(그 내의 일부 밖에 사용되어 있지 않은 것)가 존재한다. 어느 쪽이라도 계정 탈취, 악의를 가진 Pull Request、CI/CD에 있어서 취약성 등의 공급망 리스크에 처하게 된다. 소수행의 컴포넌트는 업 스트림 프로젝트의 리스크에 대한 의존도가 높다. 다기능 컴포넌트에서는 미사용의 기능이나 의존 관계가 공격 대상이 될 가능성도 있다.
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
⭐기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!
*참고자료 : @IT0516
마크애니 박춘식 고문은 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다.