글로벌 보안 기업 포트리스(Fortress)가 243개의 공급업체를 대상으로 사용중인 소프트웨어의 취약점을 분석한 보고서 ‘명세서를 넘어서:중요 인프라 소프트웨어에 잠복한 조용한 위협’를 발표했다.

이 보고서는 243개의 공급업체의 2233개의 제품과 관련된 8758개의 고유 구성 요소에서 식별된 9535개 이상의 고유 취약점을 취약성 예측 점수 시스템(EPSS)으로 분석했다. 또한 각 제품 버전에 대해 바이너리 분석을 거쳐 생성한 SBOM과 북미 에너지 소프트웨어 보증 데이터베이스(NAESAD)에 저장된 SBOM을 검토했다.

평균적으로 제품에는 155개의 취약점이 있었으며, 주요 취약점의 약 80%가 20개의 공통적인 취약점을 가지고 있었다.

조사 결과, 8758개의 구성 요소에서 발견된 9535개의 고유한 취약점 중 9%(또는 855개)는 악용 가능성이 매우 높아 즉각적인 조치가 필요했으며, 3841건의 알려진 취약점이 발견됐다. 또한 발견된 취약점들은 리눅스 커널, zlib(압축 라이브러리), OpenSSL(오픈소스 암호화 라이브러리)로 기인하는 경우가 일반적이었다.

한편 2023년 포트리스는 중국에서 개발된 코드가 다른 곳에서 개발된 코드보다 1.4배 더 많은 취약점을 포함할 가능성이 있다는 것을 발견했다. 이번 조사 결과 전체 소프트웨어 구성 요소의 25%와 제품의 약 90%가 중국에서 개발된 코드를 가지고 있었다.

포트리스의 브라이언 카우언(Brain Cowan) 수석 연구원은 “수백 개의 제품에 사용된 소수의 공통 구성 요소가 중요한 취약점의 대부분을 차지하고 있음을 발견했다,”라며 “이러한 취약점은 탐지될 수 있으며 소프트웨어 결함은 수정될 수 있으므로, 이 20개의 구성 요소를 해결하면 발전소, 석유 및 가스 정유소, 화학 회사가 훨씬 더 안전해질 것”이라고 전했다.