[아이뉴스24 김혜경 기자] 오픈소스 소프트웨어(Open Source Software‧OSS)가 디지털 전환 핵심으로 자리잡고 있지만 개방형 개발 모델 특성상 보안 취약점 문제는 꾸준히 제기돼왔다.
최근 미국에서는 오픈소스와 SW 공급망 보안을 강화하기 위한 움직임이 전개되고 있는 가운데 이번주 빅테크 기업들은 미 정부와의 회동을 통해 OSS 보안 투자 등 관련 대책을 내놨다. '제2의 로그(Log)4j' 사태를 막기 위해 국내에서도 이같은 정책 흐름주시해야 한다는 목소리가 나온다.
![지난 12일(현지시간) 워싱턴DC에서 열린 두 번째 'OSS 보안 서밋(Summit)'에서 미 정부와 산업계는 오픈소스 복원력을 강화하고 보안 문제를 개선하기 위한 합의에 도달했다. [사진=조은수 기자]](https://image.inews24.com/v1/ac40c43b9a7088.jpg)
13일 리눅스 재단(Linux Foundation)과 오픈소스 SW 보안 재단(OpenSSF)에 따르면 지난 12일(현지시간) 워싱턴DC에서 열린 두 번째 ‘OSS 보안 서밋(Summit)’에서 정부와 산업계는 오픈소스 복원력을 강화하고 보안 문제를 개선하기 위한 합의에 도달했다. 이 자리에는 백악관 국가안보회의(NSC)를 비롯한 정부 관계자와 37개 기업 소속 경영진, 기관‧단체가 참석했다.
이날 공개된 ‘OSS 보안 모빌리제이션 플랜(Mobilization Plan)’은 OSS와 SW 공급망 보안을 강화하기 위해 향후 2년에 걸쳐 약 1억5천만 달러(한화 약 1천926억 원)의 자금을 투입하는 것이 골자다. 아마존과 에릭슨, 구글, 인텔, 마이크로소프트(MS), VM웨어 등은 3천만 달러(약 385억 원)를 우선 투자하기로 했다.
![미 정부와 빅테크 기업들은 OSS와 SW 공급망 보안을 강화하기 위해 향후 2년에 걸쳐 약 1억5천만 달러(한화 약 1천926억 원)의 자금을 투입할 예정이다. 해당 표는 각 부문별 전망되는 예산 규모. [사진=리눅스 재단 'OSS 보안 모빌리제이션 플랜(Mobilization Plan)' 일부 내용 발췌]](https://image.inews24.com/v1/a92eeb50f71cff.jpg)
이번 대책은 올해 1월 초 NSC 주도로 개최된 SW 서밋의 후속 조치다. 첫 번째 회의에서 바이든 행정부는 오픈소스 기술을 보호하기 위해 민관 협조 체계로 대응 방안을 논의한 바 있다.
바이든 정부는 출범 초기부터 SW 보안을 강조해 왔다. 콜로니얼 파이프라인 해킹 사건과 솔라윈즈 공격망 공격 등 대규모 사이버 공격 사례가 발생하면서 지난해 5월에는 ‘국가의 사이버보안 강화를 위한 행정명령(EO14028)’을 내렸다. 이어 같은해 12월 log4j 보안 취약점이 발견된 이후 미 정부는 OSS 보안과 SW 공급망 투명성을 개선할 필요가 있다고 밝힌 바 있다.
해당 취약점 발견으로 전 세계가 비상이 걸렸던 이유는 오픈소스라는 특성상 대다수 기업이 직‧간접적으로 사용하고 있기 때문이다. 아파치재단은 취약점의 보안 위협 수준을 최고 등급인 10단계로 평가했다.
OSS란 프로그래밍 설계도인 소스코드가 공개된 SW를 뜻한다. 누구나 자유롭게 배포‧수정‧복제‧사용이 가능하다는 점이 특징이다. 크게 커뮤니티 기반 오픈소스와 엔터프라이즈 오픈소스로 나뉜다. 기업이 안심하고 사용할 수 있도록 보안과 성능, 기술 지원을 강화한 것이 후자다. 레드햇(Red Hat)은 대표적인 엔터프라이즈 오픈소스 공급기업이다.
복수의 개발자들이 ‘깃허브(GitHub)’ 등 오픈소스 커뮤니티를 통해 SW를 개발하고 개선한다는 점에서 집단지성으로 문제를 해결한다는 장점도 있지만 보안 문제가 단점으로 대두된 바 있다. 특히 최근 사이버 위협이 급증하고 공격 기법이 지능화되면서 OSS의 보안 취약점 해결도 시급해진 상황이다.
그동안 글로벌 빅테크 기업들은 오픈소스 관련 투자에 거액을 쏟아부었다. 2018년 IBM의 레드햇 인수와 MS의 깃허브 인수 건이 대표적인 사례다. IBM은 340억 달러(약 43조7천억원)에 레드햇을 인수했고, MS은 75억 달러(약 9조6천억원)를 투자해 깃허브를 사들였다.
2020년에는 리눅스 재단 프로젝트의 일환으로 OpenSSF가 출범했다. 해당 재단은 개발·테스트·투자와 인프라 구축 과정에서의 안전한 OSS 활용을 목적으로 교육·훈련, 정보공유 등을 수행하고 있으며, 구글, MS, IBM, 아마존, 인텔, 메타 등의 기업들이 참여하고 있다. 지난 2월에는 SW 공급망 보안을 강화하기 위한 ‘알파-오메가 프로젝트’를 발족했다.
아직까지 국내에서는 OSS 보안 강화를 위한 구체적인 대책은 없는 상황이다. 장일수 스패로우 대표는 "Log4j 등 보안 이슈 발견으로 점차 국내 시장에서도 오픈소스 보안에 대한 필요성이 부각되고 있다"며 "국내에는 오픈소스 관련 보안 정책이나 도구 사용에 대한 기준은 없는 상황"이라고 말했다.
장 대표는 "최소한의 법령을 제정하거나 행정명령 등을 통해 강제화하는 방안도 필요하다"며 "SW 자재명세서(Software Bill of Materials)를 통해 어떤 구성 요소가 어디에 사용되고 있는지 파악이 가능할 경우에는 보안 취약점에 대한 신속한 대응이 가능하며 SW 구성 분석 솔루션 활용 등도 하나의 대안이 될 것"이라고 전했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기