애플리케이션 보안 솔루션 기업 블랙 덕 소프트웨어(Black Duck Software, 이하 ‘블랙 덕’)가 2024년 16개 산업에 걸쳐 965개의 상용 코드베이스에 대한 1658개의 분석을 평가한 열 번째 연례 ‘오픈 소스 보안 및 위험 분석(OSSRA)’ 보고서를 발표했다.

이 연구는 보안, 개발 및 법률 팀에 오픈 소스 소프트웨어 채택 및 사용 추세, 보안 취약점의 만연, 소프트웨어 라이선스 및 코드 품질 위험을 포함한 오픈 소스 환경에 등에 대한 내용이 수록됐다.

올해 보고서에서는 평가된 상용 코드베이스의 86%가 오픈 소스 소프트웨어 취약점을 포함했으며, 81%가 고위험 또는 치명적인 위험 취약점을 포함하는 것으로 나타났다. 블랙 덕의 데이터에 따르면 평균 애플리케이션의 오픈 소스 파일 수는 2020년 5300개 이상에서 2024년 1만 6000개 이상으로 세 배 증가했다.

감사된 코드베이스의 90%가 4년 이상 지난 오픈 소스 구성 요소를 가진 것으로 나타났다. 오래된 구성 요소는 보안 위험을 확대하고 공격자에게 확장된 공격 표면을 제공하며 규정 준수 및 호환성 문제를 야기했다. 이는 오래된 오픈 소스의 존재는 개발자가 소프트웨어 개선 사항을 활용해야 함을 시사한다.

특히, jQuery가 가장 빈번한 취약점 원인으로 밝혀졌다. 상위 10개의 고위험 취약점 중 8개가 널리 사용되는 자바스크립트 라이브러리인 jQuery에서 발견됐다.

실제로 블랙 덕이 스캔한 애플리케이션의 43%가 jQuery의 일부 버전을 포함했으며, 가장 빈번하게 발견된 고위험 취약점은 jQuery의 오래된 버전에 영향을 미치는 XSS 취약점인 CVE-2020-11023이었다. 또한 스캔된 코드베이스의 3분의 1에 여전히 존재했다.

한편, 감사된 코드베이스의 56%가 라이선스 충돌을 포함했다. 전이적 종속성(다른 소프트웨어 구성 요소가 작동하기 위해 의존하는 오픈 소스 라이브러리)은 감사에서 발견된 라이선스 충돌의 약 30%를 유발했다. 또한 코드베이스의 33%가 라이선스가 없거나 사용자 지정된 라이선스가 있는 오픈 소스를 포함했다.

또한 패키지 관리자 스캔을 통해 벤더 종속인 경우를 77%만 식별할 수 있었으며 나머지는 AI 코딩 지원을 포함한 다른 수단을 통해 애플리케이션에 도입되었다고 분석됐다. 이러한 사각지대는 해결되지 않은 취약점, 오래된 구성 요소 및 라이선스 충돌을 일으킬 수 있다.

블랙 덕의 CEO 제이슨 슈미트(Jason Schmitt)는 “이번 보고서는 조직의 중요하고 지속적인 과제인 오픈 소스 소프트웨어에 내재된 보안 및 규정 준수 위험 관리를 강조한다.”라며 “오픈 소스 채택이 놀라운 속도로 계속 증가함에 따라 기업은 애플리케이션, 데이터 및 지적 재산에 대한 신뢰를 구축하기 위해 강력한 소프트웨어 구성 분석 및 위험 관리 전략을 구현해야 한다.”라고 말했다.