글로벌 데브옵스(DevOps) 및 보안 기업 액티브스테이트(ActiveState)가 300명 이상의 DevSecOps 전문가를 대상으로 조사한 ‘2025년 취약점 관리 및 수정 현황’ 보고서를 발표했다.

이 보고서는 조직이 반응형 접근 방식, 기술 부족 및 압도적인 양의 취약점을 포함하여 오늘날의 복잡한 소프트웨어 생태계에서 직면하는 문제를 강조했다.

보고서에 따르면 응답자의 20.26%가 취약하고 오래된 구성 요소가 조직의 보안 상태에 영향을 미치는 주요 요소라고 답했다.

오픈 소스 구성 요소는 최신 애플리케이션의 상당 부분을 차했다. 엔터프라이즈 애플리케이션의 최대 96%가 오픈 소스 라이브러리에 의존했으며 종종 코드베이스의 60-80%를 차지했다. 하지만 에퀴팩스(Equifax, 2017) 및 Log4j(2021)와 같은 유명한 침해에서 볼 수 있듯이 취약한 단일 라이브러리가 전체 애플리케이션을 손상시킬 수 있다고 보고서는 경고한다.

한편 응답자의 45.16%는 취약점이 발견되면 조직에서 핫픽스로 즉시 조치를 취한다고 답했다. 이는 보안 위협이 발생할 때 이를 해결하기 위한 반응형 접근 방식을 반영하며, 취약점을 해결해야 하는 즉각적인 필요성으로 인해 계획된 로드맵 항목 및 기능 향상을 제쳐둘 가능성이 있다.

또한 보안을 유지하면서 더 빠른 배포를 달성하는 데 가장 큰 어려움은 속도와 보안 제어의 균형을 맞추는 것(34.07%)이었으며, 최신 조직은 소프트웨어 생태계의 복잡성이 증가하고 새로운 문제가 빠르게 발견됨에 따라 끊임없이 증가하는 취약점에 직면하는 것으로 분석됐다.

특히, 책임 분산, 즉 단일 책임 지점 없이 여러 팀에 걸쳐 노동력이 분산됐다. 응답자의 9%(9.03%)는 조직 내에서 아무도 수정 책임을 지지 않는다고 답했으며, 27% 이상이 취약점 관리에 더 빠르고 안전하게 대응하는 데 가장 큰 어려움은 팀 내 기술 부족이라고 답했다.

보안을 소프트웨어 개발 수명 주기(예: 데브섹옵스(DevSecOps)를 통해)에 통합하지 못하면 개발 중이 아닌 배포 후에 취약점이 해결된다. 이러한 반응형 접근 방식은 훨씬 더 비용이 많이 들며, 연구에 따르면 프로덕션에서 취약점을 수정하는 것이 SW 개발 중에 해결하는 것보다 10~30배 많은 비용이 들 수 있다.

이러한 문제를 해결하기 위해 보고서는 조직에 ▲오픈 소스 상태 관리를 우선 ▲취약점 반경으로 위험의 실제 범위를 이해 ▲위험 우선 순위 지정 코파일럿 기반 결정 ▲정밀 수정 파이프라인으로 취약점을 더 빠르게 수정 등을 권고했다.

액티브스테이트의 CTO 스콧 로버트슨(Scott Robertson)은 “2025년 취약점 관리 및 수정 현황 보고서의 결과는 조직이 취약점 관리에 대한 접근 방식을 재고해야 하는 긴급한 필요성을 강조한다.”라며 “자동화, 인텔리전스 및 사전 예방적 사고방식을 수용해 조직은 보안 상태를 강화하고 혁신을 가속하며 전반적인 위험을 줄일 수 있다.”라고 전했다.