기업을 괴롭히는 오픈 소스 소프트웨어의 취약점

게시 됨: 2022-06-30

오픈 소스 코딩은 소프트웨어를 만드는 기업과 원활한 비즈니스 운영을 위해 이를 활용해야 하는 기업에 많은 이점을 제공합니다. 오픈 소스 소프트웨어는 단순히 오픈 소스 코딩을 사용하여 코딩된 소프트웨어입니다. 이것은 사람들이 비교적 쉽게 보고 조작할 수 있도록 코딩이 열려 있음을 의미합니다. 주요 기풍은 특정 코드에 액세스할 수 있는 사람을 어느 정도 탈중앙화하고 민주화한다는 것입니다.

웹, 앱 및 소프트웨어 개발자가 주로 선택하는 매우 다재다능하지만 휘발성 코딩입니다. 이처럼 다재다능하고 쉽게 조작할 수 있는 오픈 소스 코드의 취약성은 비즈니스를 괴롭히는 소프트웨어 다운타임과 안전 문제를 일으킬 수 있습니다. 탐색해 봅시다.

광고

목차
  • 오픈 소스 코드란 무엇입니까?
  • 기업에 어떤 문제를 일으킬 수 있습니까?
  • 오픈 소스 소프트웨어 취약점의 예
    • 2017년 Equifax 데이터 유출
    • 아마존 웹 서비스
  • 기업에 대한 사이버 공격의 광범위한 증가
  • 해결책은 무엇인가?
  • 마지막 단어

오픈 소스 코드란 무엇입니까?

공격 코드 사이버 데이터 해킹 보안

오픈 소스는 원래 오픈 소스 소프트웨어를 지칭하는 용어입니다. 그 소프트웨어의 구성은 오픈 코딩이 될 것입니다. 이는 누구나 원하는 대로 코딩을 보고, 수정하고, 배포할 수 있도록 공개적으로 액세스할 수 있음을 의미합니다. 대안은 오픈 소스 소프트웨어와 마찬가지로 폐쇄 소스 소프트웨어를 참조하는 폐쇄 소스 코딩입니다. 그 폐쇄형 소스 소프트웨어 뒤에는 폐쇄형 코딩이 있었는데, 이는 무료로 액세스할 수 없음을 의미합니다.

코딩 수정 기능을 제외하고 가장 눈에 띄는 차이점은 공개 소스 소프트웨어와 비공개 소스 소프트웨어가 개발되는 방식입니다. 폐쇄 소스 소프트웨어는 일반적으로 소프트웨어 코딩에 대한 마스터 액세스 권한을 가진 소프트웨어 개발자 한 명 또는 소규모 팀의 작업으로 결실을 맺습니다. 그들은 소프트웨어를 계속 개발하는 방법과 시기를 결정합니다.

오픈 소스 소프트웨어는 소프트웨어를 만들기 위한 대규모 협업을 봅니다. 오픈 소스가 공개된 이유는 대규모 협업 때문입니다. 많은 인원의 팀이 쉽게 액세스할 수 있어야 합니다. 한 그룹의 개발자가 여러 다른 국가에서 공동 작업을 수행할 수 있으므로 그 자체로 문제가 발생합니다. 여러 사람이 같은 공간에서 같은 프로젝트에 참여하면 쉽게 협업할 수 있습니다. 그러나 다른 국가에서 일하는 개발자는 개발, 업데이트 및 패치를 방해할 수 있습니다.

추천 대상: Network Security 101: 온라인 위협으로부터 사무실 네트워크를 보호하는 15가지 최상의 방법.

기업에 어떤 문제를 일으킬 수 있습니까?

사무실 소프트웨어 디자이너 개발자 코더 프로그래머 팀 작업

비공개 소스 소프트웨어에는 취약점이 있지만 오픈 소스 소프트웨어만큼 많지는 않습니다. 오픈 소스 소프트웨어의 주요 약점은 코딩을 통해 거의 모든 사람이 이를 조작할 수 있다는 것입니다. 이것이 2021년에 오픈 소스 소프트웨어에 대한 공격이 650% 증가한 이유 중 하나입니다. 위협 평가 수행 및 코드 암호화와 같은 애플리케이션 보안 모범 사례는 보다 안전한 소프트웨어를 만들 수 있습니다. 그러나 오픈 소스 코딩이 그렇게 접근 가능하다는 본질적인 위험은 여전히 ​​존재합니다.

또 다른 문제는 사용성에 관한 것입니다. 오픈 소스 소프트웨어는 일반적으로 사용자의 요구를 고려하지 않고 개발자의 요구에 적합합니다. 회사는 앱이 사용자의 요구를 충족하는지 확인하기 위해 앱의 설계 및 테스트에 참여해야 합니다. 사용성과 관련된 또 다른 문제는 문제가 발생할 경우 사용할 수 있는 지원이 부족하다는 것입니다. 호환성과 같은 문제는 오픈 소스 소프트웨어에서 큰 문제가 될 수 있습니다. 다른 위치의 여러 개발자가 소프트웨어 작업을 완료했기 때문에 개발자의 후속 지원이 반드시 필요한 것은 아닙니다.

오픈 소스 소프트웨어와 그 이면의 코딩에 의존하는 기업은 열악한 개발자 관행과 통합에 대한 느슨한 감독에 직면할 수도 있습니다. 완벽한 예는 2021년의 SolarWinds 해킹입니다. 이는 역사상 공급망에서 가장 피해를 주는 해킹으로 생각됩니다.

광고

250개 이상의 기업과 정부 기관이 오픈 소스 소프트웨어를 사용하여 작동하는 Orion 시스템에 침투하여 영향을 받았습니다. 두 번의 소프트웨어 업데이트 동안 해커는 네트워크 전체에 맬웨어를 출시하여 수백 개의 비즈니스가 중단되었습니다. 전체 공급망이 거의 작동을 멈췄습니다. 해킹의 영향은 여전히 ​​기업과 정부 기관에서 체감하고 있습니다. 많은 사람들이 회복하는 데 몇 년이 걸릴 것이라고 말합니다.

오픈 소스 소프트웨어 취약점의 예

코드-프로그래밍-개발자-프로젝터-프레젠테이션-데이터

오픈 소스 소프트웨어를 활용하는 기업에 대한 사이버 공격의 많은 예가 있습니다. 이것은 많은 회사가 오픈 소스 소프트웨어를 사용하여 앉아있는 오리가된다는 사실과 관련이 있습니다. 다음은 가장 주목할만한 두 가지 이벤트와 회사에서 배운 내용입니다.

2017년 Equifax 데이터 유출

취약점-오픈 소스-소프트웨어-1

2017년 Equifax 데이터 유출 사건으로 오픈 소스 소프트웨어의 진정한 취약점이 드러났습니다. 사이버 공격으로 이어진 여러 보안 결함으로 인해 많은 웹 개발자와 회사는 이러한 공격을 방지하기 위해 소프트웨어를 강화했습니다. 회사와 개발자 모두 왜? 둘 다 잘못이 있었기 때문입니다. 해커는 널리 알려진 취약점을 악용하고 소비자 불만 웹 포털을 통해 침입했습니다. 이러한 취약점은 Equifax에 의해 패치되어야 했지만 그렇지 않았습니다.

웹 포털을 통해 해커는 시스템을 가로질러 이동하여 수백만 고객의 개인 데이터를 훔칠 수 있습니다. 그 며칠 전에 소프트웨어 내 알려진 취약점에 대한 패치가 릴리스되었습니다. 그러나 Equifax는 충분한 시간 내에 패치를 구현하지 않기로 결정했습니다.

그들은 공격에서 무엇을 배웠습니까? Equifax는 패치가 구현되어야 하는 경우 릴리스될 때 구현이 필요하다는 것을 발견했습니다. 특히 가장 취약한 것은 대규모 조직입니다. 중소기업은 대규모 고객 기반을 보유한 조직만큼 자신을 표적으로 삼지 않을 것입니다. 수백만 고객의 재무 데이터를 보유하고 있는 회사인 Equifax가 변경 사항을 더 빨리 구현하기 위해 노력해야 했던 이유입니다.

광고

아마존 웹 서비스

취약점-오픈 소스-소프트웨어-2

이것은 아직 일어나지 않았습니다. 그러나 해커들은 최신 공급망 소프트웨어 공격이 되기 위해 조용히 백그라운드에서 일하고 있습니다. Python 및 PHP 개발자는 보고된 몇 가지 성공적인 해킹으로 인해 서서히 손상되고 있습니다. 그러나 해커는 아직 목표에 도달하지 못했습니다. 그들이 공격하고 있는 패키지는 Python CTX와 PHP의 phpass입니다. 둘 다 수년 동안 기업에 서비스를 제공한 오래된 소프트웨어 패키지입니다.

현재 영향을 받는 패키지를 사용하는 소프트웨어 개발자이지만 침투가 눈에 띄게 증가하면서 소프트웨어 패키지도 사용하는 회사에 대해 경고가 발생했습니다.

당신은 좋아할 수 있습니다: 모든 기업이 알아야 할 12가지 유형의 엔드포인트 보안.

기업에 대한 사이버 공격의 광범위한 증가

코드-바이트-디지털-암호화-사이버-전자-암호화-알고리즘-데이터

오픈 소스 소프트웨어 공격에만 문제가 있는 것은 아닙니다. 전반적으로 기업에 대한 사이버 공격이 눈에 띄게 광범위하게 증가하고 있습니다. 예를 들어 영국에서는 최근 정부가 기업과 자선단체에 공격이 급증하는 가운데 사이버 보안 관행을 강화할 것을 촉구하는 보고서를 발표했습니다.

많은 사람들이 이것을 팬데믹(세계적 대유행)으로 믿고 있으며, 많은 회사가 가상으로 계속 운영할 수 있도록 하는 소프트웨어에 투자했습니다. 한 연구에 따르면 팬데믹 기간과 그 이후 몇 달 동안 공격이 300% 증가했습니다. 그러나 전염병이 유일한 책임은 아닙니다. 예를 들어 5G도 공격 증가에 기여하고 있습니다. 세상은 더 빠른 대역폭을 위해 서두르고 있습니다. 그러나 대역폭을 늘리면 IoT 장치가 공격에 더 취약해집니다.

조직 내 사이버 보안 기술 격차도 공격 증가에 한몫하는 것으로 보입니다. 많은 직원들이 안전하지 않은 사이버 관행의 위험과 결과를 이해하지 못합니다. 또한 많은 회사에는 전담 사이버 보안 팀조차 없습니다. 피싱 이메일과 같은 문제에 대해 교육하고 안전한 사이버 관행을 장려하는 것은 경영진의 몫입니다.

해결책은 무엇인가?

개발자-코더-프로그래밍-팀-작업-사무실

솔루션은 오픈 소스 소프트웨어 사용을 중단하지 않는 것입니다. 취약성과 관련 위험을 고려하고 어떤 오픈 소스 소프트웨어가 이러한 위험을 최대한 완화할지 결정합니다. 기업은 자신의 필요에 가장 적합한 소프트웨어를 선택해야 합니다. 예를 들어, 오픈 소스 소프트웨어는 더 저렴한 대안을 찾는 브랜드에 더 나을 수 있습니다. 오픈 소스 소프트웨어는 일반적으로 폐쇄 소스 소프트웨어와 동일한 가격표를 가지고 있지 않습니다.

광고

폐쇄 소스 소프트웨어는 소프트웨어가 해커의 공격을 받지 않도록 더 많은 안정성과 보안을 제공합니다. 위에서 언급했듯이 오픈 소스 소프트웨어에는 2021년에 사이버 공격이 650% 증가하는 주요 보안 결함이 있습니다. 기업이 원하더라도 보안 검사를 실행하고 코딩을 암호화하는 기업이 아닙니다. 그렇게 해야 하는 것은 개발자들의 대규모 협업일 것입니다.

브랜드는 개발자와 협업하는 데도 시간이 필요합니다. 그들은 소프트웨어의 약점을 식별하고 릴리스되는 패치를 구현해야 합니다. Equifax 해킹과 마찬가지로 소프트웨어 개발자는 공격 며칠 전에 패치를 출시했습니다. 패치를 적용했기 때문에 공격이 일어나지 않았을 것입니다. 마찬가지로 정기적인 업데이트를 구현하는 것이 중요하지만 업데이트가 안전하게 릴리스되도록 개발자와 협력해야 합니다. SolarWinds의 예와 마찬가지로 Orion 시스템의 두 가지 업데이트는 해커가 즉시 악용한 취약점을 노출했습니다.

폐쇄 소스 소프트웨어는 많은 브랜드에서 실행 가능한 옵션이 아닙니다. 더 나은 대안은 전담 사이버 보안 팀에 투자하거나 직원 교육에 더 많은 시간을 할애하는 것입니다. 예를 들어, 잘못된 암호 관행으로 시작된 수많은 사이버 공격은 비교적 해결하기 쉬운 문제입니다. 2021년 Ticketmaster에 대한 공격은 직원에게 안전한 암호가 없을 때 발생할 수 있는 일의 완벽한 예입니다.

당신은 또한 좋아할 수 있습니다: 형편없는 사이버 보안 정책을 작성하기 위한 17가지 멋진 팁.

마지막 단어

취약점-오픈 소스-소프트웨어-페스트-비즈니스-결론

기술적으로 말하자면, 폐쇄 소스 소프트웨어도 공개 소스 소프트웨어와 동일한 취약점을 가지고 있습니다. 그들은 눈에 띄지 않습니다. 기업은 공개 여부에 관계 없이 평판 좋은 개발자가 만든 소프트웨어를 신중하게 선택하여 위험을 스스로 완화할 수 있습니다.

그러나 분명한 것은 전 세계 비즈니스, 특히 오픈 소스 소프트웨어를 사용하는 공급망을 보호하기 위해 수행해야 하는 작업입니다. 사이버 공격의 급격한 증가는 기업과 소비자가 사이버 공격에 얼마나 취약한지를 증명합니다. 사이버 범죄자는 이제 정교한 소프트웨어에 액세스할 수 있습니다. 개발자와 브랜드는 공격을 방지하기 위해 사이버 보안에 더욱 정통해야 합니다.

광고