메모리 안전 코드를 사용하지 않는 가장 중요한 오픈 소스 프로젝트

Contents

미국 사이버보안 및 인프라 보안국(CISA)은 172개의 주요 오픈소스 프로젝트를 조사하고 이러한 프로젝트들이 메모리 결함에 취약한지 여부를 조사한 연구 결과를 발표했습니다.

CISA, 연방수사국(FBI), 호주 기관(ASD, ACSC), 캐나다 기관(CCCS)의 공동 서명을 받은 이 보고서는 2023년 12월에 발표된 ‘메모리 안전 로드맵 사례’에 대한 후속 조치로, 메모리 안전 코드의 중요성에 대한 인식을 높이는 것을 목표로 합니다.

메모리 안전

메모리 안전 언어는 버퍼 오버플로, 사용 후 해제 및 기타 유형의 메모리 손상과 같은 일반적인 메모리 관련 오류를 방지하도록 설계된 프로그래밍 언어입니다.

프로그래머가 안전한 메모리 할당 및 할당 해제 메커니즘을 구현하는 것에 의존하는 대신, 자동으로 메모리를 관리하여 이를 달성합니다.

안전한 언어 시스템의 현대적인 예로는 Rust의 Borrow Checker가 있는데, 이는 데이터 경쟁을 제거합니다. Golang, Java, C#, Python과 같은 다른 언어는 가비지 수집을 통해 메모리를 관리하고, 해제된 메모리를 자동으로 회수하여 악용을 방지합니다.

메모리 안전하지 않은 언어는 내장된 메모리 관리 메커니즘을 제공하지 않아 개발자에게 이 책임을 지우고 오류 가능성을 높이는 언어입니다. 이러한 경우의 예로는 C, C++, Objective-C, Assembly, Cython, D가 있습니다.

널리 사용되는 오픈소스 코드는 안전하지 않습니다

이 보고서는 광범위하게 배포된 172개의 오픈소스 프로젝트를 조사한 연구 결과를 제시하며, 절반 이상이 메모리에 안전하지 않은 코드를 포함하고 있다는 사실을 발견했습니다.

보고서에 제시된 주요 결과는 다음과 같이 요약됩니다.

분석된 주요 오픈소스 프로젝트의 52%는 메모리 안전하지 않은 언어로 작성된 코드를 포함하고 있습니다.
이러한 프로젝트의 총 코드 줄(LoC) 중 55%는 메모리 안전하지 않은 언어로 작성되었습니다.
가장 큰 프로젝트는 메모리가 안전하지 않은 언어로 작성되는 경우가 많습니다.
전체 LoC 기준 가장 큰 10개 프로젝트 중 각 프로젝트는 메모리가 안전하지 않은 LoC 비율이 26%를 넘습니다.
이러한 대규모 프로젝트에서 메모리가 안전하지 않은 LoC의 중간 비율은 62.5%이며, 4개의 프로젝트가 94%를 초과했습니다.
메모리가 안전한 언어로 작성된 프로젝트조차도 메모리가 안전하지 않은 언어로 작성된 구성 요소에 의존하는 경우가 많습니다.

읽다 심각한 SAP 결함으로 인해 원격 공격자가 인증을 우회할 수 있음

검토된 세트 중 주목할 만한 몇 가지 예로는 Linux(안전하지 않은 코드 비율 95%), Tor(안전하지 않은 코드 비율 93%), Chromium(안전하지 않은 비율 51%), MySQL Server(안전하지 않은 비율 84%), glibc(비율 85%), Redis(비율 85%), SystemD(65%), Electron(47%)이 있습니다.