2023년 오픈소스 소프트웨어 10대 위협

 

2023년 오픈소스 소프트웨어 10대 위협

 

 

 

오픈소스 클라우드 보안 업체 엔돌 랩스(Endor Labs)는

2023년 오픈 소스 소프트웨어(OSS) 10대 위협을 공개했습니다.

 

 

 

보고서에 따르면 오늘날 애플리케이션 코드의 약 80%가

오픈소스 패키지를 기반으로 합니다.

그만큼 오픈소스는 소프트웨어 공급망의 가장 취약한 고리가 될 수 있습니다.

 

 

 

OSS-RISK-1 - 알려진 취약점: 

구성 요소 버전에 개발자가 실수로 취약한 코드를 포함

 

아파치 스트럿츠(Apache Struts)의 CVE-2021-44228, 로그4셸(Log4Shell)이라고도 알려진 아파치 로그4j의 CVE-2021-44228이 "알려진 취약점"의 대표적인 사례입니다.

 

알려진 취약점을 방지하려면 오픈소스 소프트웨어를 정기적으로 검사하고, 취약점의 우선순위를 지정하여 리소스 할당을 최적화해야 합니다.

 

OSS-RISK-2 - 합법적인 패키지 손상: 

기존 공식 프로젝트 관리자의 계정을 탈취하거나 

패키지 저장소의 취약점을 악용하는 위협

 

대표적인 사례로 공식 패키지가 손상된 솔라윈즈(SolarWinds) 사이버 공격이 있습니다.

 

 

 

OSS-RISK-3 - 이름 혼동 공격

Typo-Squatting, Brand-Jacking, Combo-Squatting

 

• 공식 오픈 소스나 시스템 구성 요소의 이름과 유사한 구성 요소 만들기(Typo-Squatting)
• 신뢰할 수 있는 사람인 척하기(Brand-Jacking)
• 다른 언어에서 일반적인 명명 패턴을 사용하기(Combo-Squatting)

 

설치 전후에 코드 특징, 소스 코드 저장소, 유지 관리자 계정, 릴리즈 빈도, 다운스크림 사용자 수 등의 프로젝트 특징을 확인해야 합니다.

 

공식 파이썬 패키지 Colorama를 대상으로 타이포스쿼팅 공격을 시도해 비트코인 송금을 공격자의 지갑으로 리디렉션한 Colorama 공격이 있습니다.

 

OSS-RISK-4 - 유지 관리되지 않는 소프트웨어

구성 요소나 구성 요소 버전이 더 이상 활발하게 개발되지 않아 

기능 및 보안 버그 패치가 적용되지 않을 경우

 

개발자가 직접 패치를 개발해야 하므로 업무는 늘어나고 해결 시간은 길어지며 그동안 시스템은 노출되어 있게 됩니다.

 

 

 

OSS-RISK-5 - 오래된 소프트웨어: 

최신 버전이 있는데도 오래된 버전의 구성 요소를 사용

 

오래된 버전은 최신 버전과 동일한 수준의 보안 평가를 받지 못할 수도 있습니다.

 

OSS-RISK-6 - 추적되지 않는 종속성: 

프로젝트 개발자가 구성 요소 종속성을 전혀 인식하지 못할 때 발생

 

• 구성 요소가 업스트림 구성 요소의 소프트웨어 BOM(Bill of Material)에 포함되지 않은 경우
• 소프트웨어 구성 요소 분석(SCA) 도구가 구성 요소를 탐지하지 못한 경우
• 패키지 관리자를 사용하여 종속성을 설정하지 못한 경우

 

개발자는 정확한 BOM을 생성할 수 있는 SCA 도구를 검토하고 평가해야 합니다.

 

 

 

OSS-RISK-7 - 라이선스 위험: 

최신 버전이 있는데도 오래된 버전의 버전의 구성 요소 사용

 

• 구성 요소와 프로젝트에 라이선스가 없는 경우
• 의도된 용도와 호환되지 않는 경우
• 요구 사항이 충족되지 않는 경우

OSS-RISK-8 - 미성숙한 소프트웨어: 

오픈소스 프로젝트가 개발 모범 사례를 적용하지 않은 경우

 

아래와 같이 개발 모범 사례를 적용하지 않은 경우, 구성 요소가 안정적으로 작동하지 않을 수 있습니다.

• 표준 버전 관리 체계를 사용하지 않음
• 회귀 테스트 모음이 없음
• 검토 지침이나 문서가 없음

 

 

 

OSS-RISK-9 - 승인되지 않은 변경: 

버전이 있는 리소스가 수정되거나 변조되어 

다운로드 링크가 버전이 없는 리소스를 가리키는 경우 

 

개발자가 리소스 수정을 인지, 검토, 승인할 수 없는 상태에서 구성 요소가 변경될 수 있습니다. 

 

OSS-RISK-10 - 부족/과도한 종속성: 

구성 요소가 매우 적은 기능이나 많은 기능을 제공

 

구성 요소는 매우 적은 기능(예: npm 마이크로 패키지) 또는 많은 기능(일부만 사용될 수 있음)을 제공할 수 있습니다.

 

 

 

출처

https://www.endorlabs.com/blog/top-10-oss-risks-press-release

https://www.itworld.co.kr/topnews/278725

 

감사합니다.

 

제작 : MIR Team

문의 : mss_analysis@cyberone.kr

블로그 : https://mir.team

페이스북 : https://www.facebook.com/mirteamofficial