한국인터넷진흥원(KISA)은 7일, 23만1천여 개의 오픈소스 구성 요소를 점검한 결과 약 3.5%에서 보안 취약점이 발견됐으며, 이 중 약 0.5%는 해킹이나 DDoS 공격에 악용될 수 있는 '고위험 취약점(KEV)'이었다고 밝혔다. 이번 조사는 오픈소스 소프트웨어가 폭넓게 활용되는 가운데 그에 따른 사이버보안 위협이 커지고 있는 현실을 반영한다.

KISA는 점검 대상 소프트웨어 전부가 최소 1개 이상의 오픈소스를 사용하는 등 오픈소스 의존도가 매우 높은 가운데, 실제로 외부에서 가져온 소스 코드에 대한 신뢰성 확보가 쉽지 않다는 점을 지적했다.

미국, EU 등은 이미 SBOM(소프트웨어 자재 명세서) 제출을 의무화하고 있으며, 내년 9월부터는 EU에 소프트웨어를 수출하는 기업들은 판매 이후에도 보안 취약점을 발견하면 관련 기관에 반드시 통보해야 한다.

이에 발맞춰 KISA는 외부 소스 코드의 도입부터 배포 후까지 전 주기를 통제하는 공급망 보안 체계를 마련했다. 진흥원 관계자는 “깃허브 등에서 수시로 가져다 쓰는 코드의 안전성을 사전에 검증하고 승인된 오픈소스만 사용할 수 있도록 하는 시스템을 마련 중”이라고 밝혔다.

KISA 자문을 받은 일부 기업들은 실질적인 성과도 거두고 있다. 예컨대 에스트랙픽은 미국 워싱턴DC 지하철 개찰 시스템 수출 시 SBOM을 제출했고, 한드림넷은 일본 진출 전 펌웨어 취약점을 개선하며 제품 보안을 강화했다.

전문가들은 "SBOM 기반의 체계적 소프트웨어 관리 없이는 글로벌 시장에서의 경쟁력 확보는 물론 보안 리스크도 방치될 수밖에 없다"고 경고하고 있다.