“엔터프라이즈 리눅스 취약점, 전문가 인식과 실제 환경 달라”

 글로벌 사이버 보안 기업 턱스케어(TuxCare)가 조직에서 엔터프라이즈 리눅스를 사용하는 293명을 대상으로 사용하는 사람들의 선호도, 행동, 의견 및 예측을 조사한 연례 보고서 ‘2025 엔터프라이즈 리눅스 및 오픈소스 환경 보고서’를 발표했다.

보고서 표지
응답자의 3분의 2 이상은 기술 직책을 맡고 있었으며, 조직에 101명 이상의 직원이 있었고 10개에서 500개의 리눅스 서버를 운영했다. 응답자의 대부분은 산업/제조, IT/기술 및 공공 부문 분야를 대표했다.

턱스케어의 연구원들은 이번 보고서에 주요 결과로 ▲취약점에 대한 인식 불일치 ▲AI 도입 ▲공급망 보안에 대한 신뢰도 하락 총 세 가지 이슈를 꼽았다.

취약점에 대한 인식 불일치

보안 전문가의 인식은 실제 위협 환경과 일치하지 않았다. 2023년과 비교해 취약점 볼륨에 대해 질문했을 때 응답은 거의 완벽한 정규 분포를 따랐다. 약 24%는 작년에 비해 취약점이 증가했다고 믿었고, 50%는 안정적으로 유지되었다고 답했으며, 25%는 취약점이 감소했다고 인식했다.

그러나 마이터(Mitre)의 데이터에 따르면 2023년에 비해 2024년에 약 25% 더 많은 취약점이 발생했다. 더욱 놀라운 것은 리눅스 관련 취약점이 290개에서 3559개로 약 12배나 증가했으며, 이는 주로 커널 CNA 개발 때문이었다.

AI 도입

조직은 혁신보다는 비용 절감을 위해 AI를 점점 더 찾고 있다. 조직이 AI를 사용하는 목적이 변화하고 있다. 주요 목표에 상당한 변화가 나타났으며, 비용 절감 목표는 35%에서 53%로 증가했으나, 혁신 중심 구현은 감소했다.

뒤로멈춤앞으로
이러한 전환은 클라우드 컴퓨팅의 진화를 반영하며, AI가 변혁적인 기술에서 실용적인 비즈니스 도구로 이동하고 있음을 시사한다. 이러한 변화는 AI 효과가 감소했음을 반드시 나타내는 것은 아니며, 오히려 조직이 현실적인 목표와 구체적인 비즈니스 중심 지표를 통해 성공을 측정하고 있음을 시사한다.


비용 절감으로 AI 도입을 하려는 응답 비율
공급망 보안에 대한 신뢰도 하락

공급망 보안에 대한 신뢰도가 23.81%에서 12.31%로 급락했다. 역설적으로 공식적인 보안 프로세스가 없는 조직의 7%는 여전히 보안 태세에 높은 신뢰도를 보고했는데, 이는 사이버 보안에서 더닝-크루거 효과의 위험한 발현일 수 있다.

잠재적으로 가장 시사하는 바는 보안 프로세스의 완전 자동화에서 극적인 후퇴로, 14.48%에서 2.56%로 떨어졌다. 이는 자동화가 강력하지만 인간의 감독이 여전히 필수적이라는 인식이 증가하고 있음을 시사한다.


위의 결과 외에도 보고서는 ▲엔터프라이즈 리눅스 배포 및 클라우드 서비스의 추세 ▲리눅스 패치 및 취약점 관리 ▲크라우드스트라이크 사고 영향 ▲XZ 사고 노출 원인 ▲오픈소스 공급망 보안 ▲AI 도입 계획 및 현황 등을 다룬다.

턱스케어의 최고 수익 책임자 마이클 카나반(Michael Canavan)은 “이번 보고서는 다른 결과 중에서 실제 위협에 비해 취약점 수준에 대한 인식 사이에 명확한 불일치가 존재한다는 점을 강조한다.”라며 “보고서의 수많은 다른 결과는 지속적인 보안 문제와 함께 지속적인 혁신과 혼란을 경험하고 있는 오픈소스 및 엔터프라이즈 리눅스 공간의 모습을 보여준다.”라고 전했다.

이 게시글이 문제가 될 시, 삭제하겠습니다 

출처 : https://www.gttkorea.com/news/articleView.html?idxno=17246