[아이뉴스24 김국배 기자] 개발자의 절반 가까이가 새로운 보안 취약점이 공개돼도 컴포넌트(component)를 업데이트하지 않는 것으로 나타났다.
컴포넌트는 기존 소프트웨어(SW) 개발 프로젝트와 라이브러리에서 기능을 끌어오는데 활용한다.
8일 한국CA테크놀로지스가 애플리케이션 개발자 400명을 대상으로 조사한 'CA 베라코드 보고서'에 따르면 개발자의 52%만이 새로운 보안 취약점이 공개됐을 경우 컴포넌트를 업데이트하는 것으로 나타났다.
애플리케이션 배포 시 컴포넌트 취약점을 테스트하는 개발자도 10명 중 2명(23%)에 그쳤다. 현재 외부 개발사 컴포넌트가 포함된 애플리케이션 한 개당 평균 71개의 취약점이 보고되는 상황이다. 회사 측은 "오픈소스 컴포넌트에 관한 기업의 보안 인식 부재를 드러낸다"고 평가했다.
또한 애플리케이션에 내장된 컴포넌트를 파악하기 위해 정기적으로 SW 구성을 분석하는 기업은 28%에 못 미쳤다. 53%의 기업만 모든 애플리케이션 컴포넌트의 사용 현황(inventory)을 유지했다.
외부 개발사의 상용·오픈소스 컴포넌트 유지보수를 개발 부서가 담당한다는 응답자는44%로 보안 부서(31%)보다 많았다. 컴포넌트 관리 책임이 개발 부서로 이동하고 있는 것을 해석된다.
이번 조사에서 응답자의 83%는 상용 또는 오픈소스 컴포넌트 중 하나 이상을 사용하는 것으로 파악됐다. 애플리케이션 한 개당 평균 컴포넌트 수는 73개에 달했다.
회사 측은 "컴포넌트는 개발자의 효율성을 높여주지만 보안 위험을 내재한다"며 "개발·보안·운영을 통합하는 SW 개발 프로세스인 데브섹옵스(DevSecOps)는 개발자가 작성하는 코드의 보안을 효과적으로 개선한다"고 강조했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기