기업을 괴롭히는 오픈 소스 소프트웨어의 취약점

게시 됨: 2022-06-30

오픈 소스 코딩은 소프트웨어를 만드는 기업과 원활한 비즈니스 운영을 위해 소프트웨어를 활용해야 하는 대기 중인 비즈니스에 많은 이점을 제공합니다. 오픈 소스 소프트웨어는 단순히 오픈 소스 코딩을 사용하여 코딩된 소프트웨어입니다. 이것은 사람들이 비교적 쉽게 보고 조작할 수 있도록 코딩이 열려 있음을 의미합니다. 주요 정신은 특정 코드에 액세스할 수 있는 사람을 어느 정도 분산하고 민주화한다는 것입니다.

웹, 앱 및 소프트웨어 개발자에게 지배적인 선택인 매우 다재다능하면서도 변동성이 큰 코딩입니다. 다재다능하고 쉽게 조작할 수 있는 오픈 소스 코드의 취약성으로 인해 비즈니스를 괴롭히는 소프트웨어 다운타임 및 안전 문제가 발생할 수 있습니다. 살펴보겠습니다.

목차 보기
  • 오픈 소스 코드란 무엇입니까?
  • 기업에 어떤 문제를 일으킬 수 있습니까?
  • 오픈 소스 소프트웨어 취약점의 예
    • 2017 Equifax 데이터 유출
    • 아마존 웹 서비스
  • 기업에 대한 사이버 공격의 광범위한 증가
  • 해결 방법이 무엇입니까?
  • 최종 단어

오픈 소스 코드란 무엇입니까?

공격 코드 사이버 데이터 해킹 보안

오픈 소스는 원래 오픈 소스 소프트웨어를 가리키는 용어입니다. 그 소프트웨어의 구성은 오픈 코딩이 될 것입니다. 즉, 공개적으로 액세스할 수 있으므로 누구나 보고, 수정하고, 원하는 대로 코딩을 배포할 수 있습니다. 대안은 오픈 소스 소프트웨어와 마찬가지로 폐쇄 소스 소프트웨어를 지칭하는 폐쇄 소스 코딩입니다. 비공개 소스 소프트웨어 뒤에는 비공개 코딩이 있었습니다. 즉, 자유롭게 액세스할 수 없습니다.

코딩 수정 기능을 제외하고 가장 눈에 띄는 차이점은 공개 및 폐쇄 소스 소프트웨어가 개발되는 방식입니다. 폐쇄 소스 소프트웨어는 일반적으로 소프트웨어 코딩에 대한 마스터 액세스 권한을 각각 갖는 소프트웨어 개발자 한 명 또는 소규모 팀의 작업으로 결실을 맺습니다. 소프트웨어 개발 방법과 시기를 결정합니다.

오픈 소스 소프트웨어는 소프트웨어를 만들기 위해 대규모 협업을 봅니다. 대규모 협업은 오픈 소스가 개방된 이유입니다. 대규모 팀이 쉽게 액세스할 수 있어야 합니다. 한 그룹의 개발자가 여러 국가에서 공동으로 작업할 수 있으며, 이는 그 자체로 문제를 일으킵니다. 여러 사람이 같은 공간에서 같은 프로젝트를 진행하면 공동 작업이 쉬워집니다. 그러나 다른 국가에서 작업하는 개발자는 개발, 업데이트 및 패치를 방해할 수 있습니다.

권장 사항: 네트워크 보안 101: 온라인 위협으로부터 사무실 네트워크를 보호하는 15가지 최상의 방법.

기업에 어떤 문제를 일으킬 수 있습니까?

사무실-소프트웨어-디자이너-개발자-코더-프로그래머-팀-작업

폐쇄 소스 소프트웨어에는 취약점이 있지만 오픈 소스 소프트웨어만큼 많은 것은 없습니다. 오픈 소스 소프트웨어의 주요 약점은 코딩을 통해 거의 모든 사람이 소프트웨어를 조작할 수 있다는 것입니다. 이것이 2021년에 오픈 소스 소프트웨어에 대한 공격이 650% 증가한 이유 중 하나입니다. 위협 평가 수행 및 코드 암호화와 같은 애플리케이션 보안 모범 사례를 통해 더 안전한 소프트웨어를 만들 수 있습니다. 그러나 오픈 소스 코딩에 너무 쉽게 접근할 수 있다는 고유한 위험이 여전히 존재합니다.

또 다른 문제는 유용성에 관한 것입니다. 오픈 소스 소프트웨어는 일반적으로 사용자의 요구 사항을 고려하지 않고 개발자의 요구 사항에 적합합니다. 회사는 앱이 사용자의 요구 사항을 충족하는지 확인하기 위해 앱의 디자인 및 테스트에 참여해야 합니다. 사용성과 관련된 또 다른 문제는 문제가 발생할 경우 사용할 수 있는 지원이 부족하다는 것입니다. 호환성과 같은 문제는 오픈 소스 소프트웨어에서 큰 문제가 될 수 있습니다. 서로 다른 위치의 여러 개발자가 소프트웨어 작업을 완료했기 때문에 개발자의 후속 지원이 반드시 필요한 것은 아닙니다.

오픈 소스 소프트웨어에 의존하고 그 뒤에 코딩하는 기업은 열악한 개발자 관행과 느슨한 통합 감독에 직면할 수도 있습니다. 완벽한 예는 2021년의 SolarWinds 해킹입니다. 이는 역사상 공급망에서 가장 피해가 큰 해킹으로 생각됩니다.

250개가 넘는 기업과 정부 기관이 오픈 소스 소프트웨어를 사용하여 운영되는 Orion 시스템에 침투하여 영향을 받았습니다. 두 번의 소프트웨어 업데이트 중에 해커가 네트워크 전체에 맬웨어를 배포하여 수백 개의 비즈니스가 중단되었습니다. 전체 공급망이 거의 작동을 멈췄습니다. 해킹의 영향은 여전히 ​​기업과 정부 기관에서 체감하고 있습니다. 많은 사람들이 회복하는 데 몇 년이 걸릴 것이라고 말합니다.

오픈 소스 소프트웨어 취약점의 예

코드 프로그래밍 개발자 프로젝터 프레젠테이션 데이터

오픈 소스 소프트웨어를 활용하는 기업에 대한 사이버 공격의 많은 예가 있습니다. 이것은 많은 회사들이 오픈 소스 소프트웨어를 사용하여 앉아있는 오리가 된다는 사실과 관련이 있습니다. 다음은 가장 주목할만한 두 가지 이벤트와 회사가 이를 통해 배운 내용입니다.

2017 Equifax 데이터 유출

취약점-오픈 소스-소프트웨어-1

2017년 Equifax 데이터 유출은 오픈 소스 소프트웨어의 진정한 취약성을 밝혀냈습니다. 사이버 공격으로 이어진 여러 보안 결함으로 인해 많은 웹 개발자와 회사는 이러한 공격을 방지하기 위해 소프트웨어를 강화했습니다. 왜 회사와 개발자 모두인가? 둘 다 잘못이 있기 때문입니다. 해커는 널리 알려진 취약점을 악용하고 소비자 불만 웹 포털을 통해 침입했습니다. 이러한 취약점은 Equifax에 의해 패치되어야 했지만 그렇지 않았습니다.

웹 포털을 통해 해커는 시스템 전체를 이동하고 수백만 고객의 개인 데이터를 훔칠 수 있습니다. 그 며칠 전에 소프트웨어 내의 알려진 취약점에 대한 패치가 출시되었습니다. 그러나 Equifax는 충분한 시간 내에 패치를 구현하지 않기로 결정했습니다.

그들은 공격에서 무엇을 배웠습니까? Equifax는 패치에 구현이 필요한 경우 릴리스될 때 구현이 필요하다는 사실을 발견했습니다. 특히 가장 취약한 것은 대규모 조직입니다. 중소기업은 대규모 고객 기반을 가진 조직만큼 목표가 되지 않습니다. 그렇기 때문에 수백만 고객의 금융 데이터를 보유하고 있는 회사인 Equifax는 변경 사항을 더 빨리 구현하기 위해 노력해야 했습니다.

아마존 웹 서비스

취약점-오픈 소스-소프트웨어-2

이것은 아직 일어나지 않았습니다. 그러나 해커들은 최신 공급망 소프트웨어 공격이 되기 위해 백그라운드에서 조용히 작업하고 있습니다. Python 및 PHP 개발자는 보고된 몇 가지 성공적인 해킹으로 인해 서서히 손상되고 있습니다. 그러나 해커는 아직 목표에 도달하지 못했습니다. 그들이 공격하는 패키지는 Python CTX와 PHP의 phpass입니다. 둘 다 수년 동안 비즈니스에 사용된 오래된 소프트웨어 패키지입니다.

현재는 영향을 받는 패키지를 사용하는 소프트웨어 개발자이지만 침입이 눈에 띄게 증가함에 따라 소프트웨어 패키지를 사용하는 회사에 대한 경고가 발생했습니다.

모든 기업이 알아야 12가지 엔드포인트 보안 유형.

기업에 대한 사이버 공격의 광범위한 증가

코드-바이트-디지털-암호화-사이버-전자-암호화-알고리즘-데이터

오픈 소스 소프트웨어 공격에만 문제가 있는 것은 아닙니다. 전반적으로 비즈니스에 대한 사이버 공격이 눈에 띄게 광범위하게 증가하고 있습니다. 예를 들어 영국 정부는 최근 기업과 자선 단체에 공격이 급증하는 가운데 사이버 보안 관행을 강화할 것을 촉구하는 보고서를 발표했습니다.

많은 기업이 가상 운영을 계속할 수 있게 해주는 소프트웨어에 투자하는 팬데믹 때문이라고 많은 사람들이 믿고 있습니다. 한 연구에 따르면 팬데믹 기간과 그 이후 몇 달 동안 공격이 300% 증가했습니다. 그러나 팬데믹만이 탓할 수 있는 것은 아닙니다. 예를 들어 5G도 공격 증가에 기여하고 있습니다. 세상은 더 빠른 대역폭을 위해 서두르고 있었습니다. 그러나 대역폭을 늘리면 IoT 장치가 공격에 더 취약해집니다.

조직 내 사이버 보안 기술 격차도 공격 증가에 영향을 미치는 것으로 보입니다. 많은 직원들이 안전하지 않은 사이버 관행의 위험과 결과를 이해하지 못합니다. 또한 많은 회사에는 전담 사이버 보안 팀도 없습니다. 피싱 이메일과 같은 문제에 대해 교육하고 안전한 사이버 관행을 장려하는 것은 경영진의 몫입니다.

해결 방법이 무엇입니까?

개발자-코더-프로그래밍-팀-작업-사무실

해결책은 오픈 소스 소프트웨어 사용을 중단하는 것이 아닙니다. 취약성 및 관련 위험을 고려하고 어떤 오픈 소스 소프트웨어가 가능한 많은 위험을 완화하는지 결정하십시오. 기업은 자신의 필요에 가장 적합한 소프트웨어를 선택해야 합니다. 예를 들어 오픈 소스 소프트웨어는 더 저렴한 대안을 찾는 브랜드에 더 적합할 수 있습니다. 오픈 소스 소프트웨어는 일반적으로 폐쇄 소스 소프트웨어와 동일한 가격표를 가지고 있지 않습니다.

비공개 소스 소프트웨어는 소프트웨어가 해커의 공격을 받지 않도록 더 많은 안정성과 보안을 제공합니다. 위에서 언급했듯이 오픈 소스 소프트웨어에는 2021년 사이버 공격이 650% 증가한 주요 보안 결함이 있습니다. 기업이 원하더라도 보안 검사를 실행하고 코딩을 암호화하는 것은 기업이 아닙니다. 그렇게 해야 하는 것은 개발자들의 대규모 협업일 것입니다.

브랜드는 또한 시간을 들여 개발자와 협업해야 합니다. 그들은 소프트웨어의 약점을 식별하고 출시된 패치를 구현해야 합니다. Equifax 해킹과 마찬가지로 소프트웨어 개발자는 공격 며칠 전에 패치를 릴리스했습니다. 그들이 패치를 적용했기 때문에 공격이 일어나지 않았을 것입니다. 마찬가지로 정기적인 업데이트를 구현하는 것이 필수적이지만 여기에는 업데이트가 안전하게 릴리스되도록 개발자와 협력하는 것도 포함됩니다. SolarWinds의 예와 마찬가지로 Orion 시스템의 두 가지 업데이트는 해커가 즉시 악용한 약점을 노출했습니다.

비공개 소스 소프트웨어는 많은 브랜드에서 실행 가능한 옵션이 아닙니다. 더 나은 대안은 전담 사이버 보안 팀에 투자하거나 직원 교육에 더 많은 시간을 할애하는 것입니다. 예를 들어, 많은 주목을 받는 사이버 공격은 잘못된 암호 사용으로 시작되었지만 상대적으로 해결하기 쉬운 문제입니다. 2021년 Ticketmaster에 대한 공격은 직원에게 보안 암호가 없을 때 발생할 수 있는 일의 완벽한 예입니다.

당신은 또한 다음을 좋아할 것입니다: 형편없는 사이버 보안 정책을 작성하기 위한 17가지 멋진 팁.

최종 단어

취약점-오픈 소스-소프트웨어-전염병-비즈니스-결론

기술적으로 말하면 폐쇄 소스 소프트웨어도 오픈 소스 소프트웨어와 동일한 취약점이 있습니다. 그들은 그다지 눈에 띄지 않습니다. 기업은 개방형이든 폐쇄형이든 상관없이 평판이 좋은 개발자가 만든 소프트웨어를 신중하게 선택하여 위험 자체를 완화할 수 있습니다.

그러나 분명한 것은 전 세계 기업, 특히 오픈 소스 소프트웨어를 사용하는 공급망을 보호하기 위해 해야 할 일입니다. 사이버 공격의 급격한 증가는 기업과 소비자가 사이버 공격에 얼마나 취약한지를 증명합니다. 사이버 범죄자는 이제 정교한 소프트웨어에 액세스할 수 있습니다. 개발자와 브랜드는 공격을 방지하기 위해 사이버 보안에 정통해야 합니다.