오픈소스 공급망, 0.5% '고위험 취약점' 잠복 작성일 12-07 27 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="5b6qFGSrlZ"> <p contents-hash="e25d88c7b82f39129660bdce9e8354770300cac324e5e13c641538484799391b" dmcf-pid="1KPB3HvmCX" dmcf-ptype="general">[아이뉴스24 박지은 기자] 한국인터넷진흥원(KISA)은 7일 국내 기업들이 활용하는 오픈소스 소프트웨어 구성 요소 23만여 개를 분석한 결과, 약 0.5%에서 해킹·디도스(DDoS) 공격에 악용할 수 있는 취약점이 확인됐다고 밝혔다.</p> <p contents-hash="0195d02a583350e547a5bd690afd2529035c94a45617f11ba0651d70f6a62744" dmcf-pid="t9Qb0XTsvH" dmcf-ptype="general">오픈소스 활용이 일상화된 만큼 공급망 보안이 기업의 주요 리스크로 부상하는 것이다.</p> <figure class="figure_frm origin_fig" contents-hash="721acf04203d4e62c97bc39b057f50124aca72db4a842d57cfcc7c3292480348" dmcf-pid="FSXhDaJ6lG" dmcf-ptype="figure"> <p class="link_figure"><img alt="KISA 전경 [사진=한국인터넷진흥원]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/07/inews24/20251207142449871dzgx.jpg" data-org-width="580" dmcf-mid="ZeOjJP2uh5" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/07/inews24/20251207142449871dzgx.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> KISA 전경 [사진=한국인터넷진흥원] </figcaption> </figure> <p contents-hash="325e0f30643b83abd62e359cdfff625d5b9a7f0eb00cafc3a6f12c0a637f0918" dmcf-pid="3vZlwNiPSY" dmcf-ptype="general">KISA는 구성 요소의 3.5%에서 원격 코드 실행, 민감 정보 노출 등 취약점을 발견했으며, 이 가운데 0.49%는 실제 공격 사례가 존재하는 ‘KEV(known exploited vulnerability)’로 분류됐다. 조사 대상 소프트웨어 모두 최소 1개 이상의 오픈소스를 포함하고 있었다.</p> <p contents-hash="ab04791fe99644f06755e37fa3a9c119a62f361ffd32bd47c49e193b337cc851" dmcf-pid="0T5SrjnQSW" dmcf-ptype="general">공급망 보안 규제도 강화하는 추세다. 미국과 EU는 소프트웨어 자재 명세서(SBOM) 제출을 의무화하고 있다. EU는 사이버 복원력법(CRA)과 EUCC 인증 제도를 시행 중이다. 내년 9월부터 EU에 소프트웨어를 판매하는 기업은 출시 후 취약점 발견 시 당국 통보 의무를 지게 된다.</p> <p contents-hash="6f085409e0a1b3d131d7e639629211e2494a58b4f70cc6c8c8811e80ef7a93a8" dmcf-pid="py1vmALxly" dmcf-ptype="general">KISA는 기업의 자체 점검 여력이 부족하다는 점을 고려해 소스 코드 도입부터 배포 이후 모니터링까지 전 주기를 관리하는 공급망 보안 체계를 구축했다. 자주 사용하는 오픈소스를 검증해 SBOM을 자동 생성하고, 승인된 구성요소만 쓰도록 지원한다.</p> <p contents-hash="118641c7b5dea46870df410a48c9a354241cf5d8630126708caccf5ca0b57e41" dmcf-pid="UWtTscoMhT" dmcf-ptype="general">자문 사례로는 에스트랙픽의 미국 워싱턴DC 지하철 개찰 시스템 수출 과정 SBOM 제출, 일본에 진출한 한드림넷의 펌웨어 취약점 개선 등이 소개됐다.</p> <p contents-hash="d0640a6521374368cea13aef03b7707038666da5a96ce6533a2d862d73621193" dmcf-pid="uYFyOkgRSv" dmcf-ptype="general">KISA는 “깃허브 등 외부 소스를 무조건 신뢰하기 어려운 환경”이라며 “국제 규제가 강화되는 만큼 공급망 기반 보안 관리가 기업의 필수 과제”라고 강조했다.</p> <address contents-hash="94b03d86a24a2833e475da9dc016d810c3ca69cf0f43d342a63a29511193177b" dmcf-pid="7G3WIEaevS" dmcf-ptype="general">/박지은 기자<span>(qqji0516@inews24.com)</span> </address> </section> </div> <p class="" data-translation="true">Copyright © 아이뉴스24. 무단전재 및 재배포 금지.</p> 관련자료 이전 박보검, ‘2025 AAA’ 5관왕 영예 12-07 다음 삼성전자, 4분기 D램 1위 탈환...범용 가격 상승, HBM 회복 12-07 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
