25일 서울 서초구 엘타워에서 <바이라인네트워크>가 개최한 ‘사이버보안 기술 전략 컨퍼런스 2025’에서 ‘엔터프라이즈 AI의 진화: 보안 트렌드와 도전과제’를 주제로 인재홍 OSC 최고기술책임자(CTO)는 이같이 발표했다.
이날 인재홍 CTO는 오픈소스 소프트웨어(OSS)의 취약점과 멀웨어 등 보안 위험성에 대해 이야기했다.
자료에 따르면 전 세계 개발자들은 2024년 기준 65조 규모로 OSS를 사용하고 있다. 대표적인 OSS 보안 위협으로 취약점과 오픈소스 멀웨어가 있다.
취약점은 실수나 버그 같이 의도치 않은 결함으로 누군가 악용해야만 피해가 발생한다. CVE(Common Vulnerabilities and Exposures)로 공개적인 보안 결함 목록으로 관리된다. 반면, 오픈소스 멀웨어는 처음부터 시스템에 해를 끼치기 위해 의도적으로 만들어졌다. 나쁜 의도를 갖고 만든 것으로 취약점보다 더 심각한 영향을 줄 수 있다.
인 CTO는 “2019년부터 지금까지 발견된 멀웨어는 82만개 정도”라며, “2023년부터 2024년까지 한 3배 정도 빠르게 증가했다”며 멀웨어 위험성을 경고했다.
현재 OSS 도입은 파이썬(PyPI)과 자바스크립트(NPM) 생태계가 주도하고 있다. 인 CTO는 PyPI는 2024년 말까지 5300억건의 패키지 요청에 달할 것으로 추정되고, NPM은 4.5조건의 요청을 기록했다고 설명했다. 따라서 오픈소스 생태계가 폭발적으로 성장하고 있으며 보안 위협도 동반되고 있다는 이야기다.
인 CTO는 흥미로운 점으로 취약점이 발견된 후에도 계속 사람들이 이용한다고 짚었다. 자료에 따르면 지난 2021년 Log4j에서 심각한 취약점이 발견된 후 개선된 버전이 계속 나왔지만, 여전히 취약한 버전을 다운로드 받는 비중이 13%다. 2024년 7월까지도 취약점이 발견된 버전을 쓰는 사람이 존재한다는 것이다.
인 CTO는 “개선 버전이 안 나와서 안 쓰는 것은 아니다. 5% 정도는 취약성이 해소가 안되는 버전을 쓰는 것”이라며, “개발자 혹은 배포하는 사람이 취약 사항을 찾아서 개선해야 하는데, 안하는 경우가 대부분”이라고 우려했다.
소프트웨어 개발자들이 AI를 개발 프로세스나 애플리케이션(앱) 하는 경우는 계속 높아지고 있다. 자료에서 AI 모델을 도입하는 비율은 2023년 기준 47%에서 2024년 기준 76%에 달해 매년 증가하고 있다. 인 CTO는 “전통적인 AI는 267%, 그리고 생성형 AI LLM(대규모언어모델)은 870%로 더 많이 성장하고 있다”고 분석했다.
대표적인 오픈소스 플랫폼 허깅페이스도 검증은 필요하다. 인 CTO는 “허깅페이스 안에도 굉장히 많은 멀웨어와 취약성들이 존재하고 있다”고 지적했다. 이어 영상을 통해 허깅페이스에서 모델을 다운받은 뒤 계산기가 실행되는 상황에 대해, 그는 “계산기가 수행이 되면 뭐든 할 수 있다는 뜻”이라며, “해당 시스템에 접근해서 뭔가 할 수 있다는 걸 보여드린 거다”라고 설명했다. 지금도 해당 모델은 다운로드가 가능하다.
인 CTO는 오픈소스 플랫폼에서 보안 위협을 점검할 수 있는 방안으로 ‘소나타입’ 플랫폼을 꼽았다. 오에스씨는 소프트웨어 공급망 보안 기업 소나타입의 소나타입(Sonatype) 플랫폼을 공급하고 있다. 인 CTO는 소나타입의 라이프 사이클로 오픈소스 취약성을 자동 발견할 수 있으며, 방화벽으로 악성 오픈소스 구성요소가 유입되는 것을 방지할 수 있다고 설명했다.
오에스씨는 제1금융권을 비롯한 국내 고객으로 금융사가 많다. 인 CTO는 “하나은행, 카카오뱅크, 케이뱅크, 토스 등을 비롯해 현대차 같은 기업 고객들이 사용하고 있다”며, 보안과 신뢰성이 중요한 금융사 고객을 강조하며 발표를 마쳤다.
글. 바이라인네트워크
<최가람 기자> ggchoi@byline.network
![[기획//클린 온라인, 기업을 지키자!] (4)악성 게시글로 주가가 하락하고 투자유치도 실패](https://img.etnews.com/news/article/2025/06/23/news-p.v1.20250623.4b703dc464b341d0a644da2e32a8f9b7_P2.png)
