[영상]
모션그래픽 #03
- 오픈소스 프로그램의 보안위협편 -
사이버안보백서-오픈소스 프로그램의 보안위협편
영상 자막
<오픈소스 프로그램의 보안위협>오픈소스란 누구나 공개적으로 접근하여 자유롭게 활용할 수 있는 프로그램 라이브러리를 의미합니다.현재 오픈소스 온라인 커뮤니티에는 개발에 필요한 기능과 관련된 소스코드가 다양하게 구현되어 있습니다.그러나 높은 효율성으로 주류가 된 오픈소스 개발방식은 보안 취약점 노출과 같은 문제가 발생하였을 때 막대한 파급영향을 초래할 수 있습니다.2021년 11월에 발견된 Log4j 취약점은 이러한 우려사항을 현실화 하였습니다. Log4j는 JAVA 기반 프로그램을 개발할 때 로그의 기록 기능을 지원하는 오픈소스 라이브러리인데요.로그 생성 시 조직 내부 자원에 접근하는 기능을 포함하고 있는데, 이는 Log4j의 역할 대비 높은 권한일 뿐 아니라 입력에 대한 유효성 검사도 취약했습니다.즉, 공격자는 해당 취약점을 악용하여 조직 외 악성 서버로부터 정보를 수신하게 하는 등의 악의적인 동작을 수행시킬 수 있습니다.이러한 오픈소스 본질의 문제점에 대한 가장 현실적인 해결책은 ‘공급망의 가시성’을 확보하는 것입니다.이는 소프트웨어 내의 모든 구성요소와 출처를 정확히 명시하는 것인데요.이러한 작업에는 많은 시간과 비용이 소모될 수도 있지만,오픈소스 사용에 따른 문제해결을 위해 정부는 적극적으로 참여하고 있습니다.