오픈 소스 맬웨어가 156% 급증했습니다.

Sonatype이 목요일에 발표한 소프트웨어 공급망 상태에 대한 연례 보고서에 따르면, 지난해 오픈 소스 악성 코드가 무려 156%나 증가했으며, 오픈 소스 소프트웨어의 다운로드 횟수가 사상 최고로 6.6조 건에 달했다고 밝혔습니다.

이러한 결과는 소프트웨어 공급망이 점점 더 취약해지고 있는 위험성을 강조하며, 오픈 소스 사용이 가속화함에 따라 이러한 위험성이 증가하고 있음을 보여줍니다.

700만 개가 넘는 오픈 소스 프로젝트의 데이터를 바탕으로 한 이 보고서는 파이썬 패키지 요청이 놀라운 80% 증가하고, 자바스크립트 다운로드가 70% 상승하여 소프트웨어 소비가 크게 증가했음을 보여줍니다.

그러나 이런 증가는 2019년 이후로 704,102개가 확인된 악성 패키지의 불안정한 확산과 함께 있습니다. 특히, 몇몇 중요한 취약점들은 2024년에 500일이 넘게 해결하는 데 시간이 걸렸으며, 이는 관리자들이 직면하고 있는 백로그를 드러냅니다.

소비자의 무관심은 이 문제를 더욱 악화시킵니다. 패키지의 99%가 업데이트된 버전을 가지고 있음에도 불구하고, 애플리케이션 의존성의 80%가 1년 이상 업그레이드되지 않고 있습니다. 더욱 놀라운 것은, 취약한 구성 요소가 발견되었을 때, 95%의 경우 이미 수정된 버전이 존재한다는 것입니다.

이런 점점 늘어나는 위협에 맞서기 위해, Sonatype은 오픈 소스 프로젝트에 대한 투자를 늘리는 것을 주장합니다.

이 보고서는 유료 지원이 있는 오픈 소스 프로젝트가 포괄적인 보안 정책을 갖출 확률이 거의 세 배 더 높다는 사실을 밝혔습니다. 더욱이, 유료 지원이 있는 컴포넌트는 미해결 취약점을 최대 45% 더 빠르게 해결하며, 일반적으로 전체 취약점이 절반에 불과합니다.

또한, 이 보고서는 유럽연합(EU)의 네트워크 및 정보 시스템 지침(NIS2)과 같은 신흥 규제가 소프트웨어 빌 오브 머티리얼(SBOM) 채택을 촉진하고 있다는 점을 지적하고 있습니다.

“지난 10년 동안, 우리는 소프트웨어 공급망 공격이 특히 오픈 소스 악성 소프트웨어의 출현과 함께 점점 더 복잡해지고 빈번해지는 것을 목격했습니다,”라고 Sonatype의 CTO이자 공동 창업자인 브라이언 폭스가 말했습니다.

“앞으로의 10년 동안 활기찬 그리고 안전한 오픈 소스 생태계를 보장하기 위해, 우리는 오픈 소스 악성 소프트웨어에 대한 경계, 소비자의 무관심 감소, 그리고 포괄적인 의존성 관리를 통한 사전적인 보안 기반을 구축해야 합니다,”라고 그는 덧붙였습니다.

이러한 소프트웨어 공급망의 도전은 사이버보안 환경의 보다 광범위한 추세를 반영하고 있습니다. 새로운 보고서에서는 사이버보안 전문가의 66%가 5년 전보다 자신의 역할이 더 스트레스 받는다고 강조하고 있습니다. 이는 주로 복잡해진 위협 환경, 예산 부족, 그리고 충분히 훈련받지 못한 직원들로 인한 것입니다.