Home > 전체기사

오픈소스 소프트웨어 보호하기 위해 백악관과 주요 IT 기업들 만나

  |  입력 : 2022-01-17 18:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 주 백악관에서는 여러 IT 전문가들이 만남을 가졌다. 소프트웨어 생태계의 가장 기본 단위가 되는 오픈소스를 보호할 방안을 마련하기 위해서였다. 아직 구체적으로 어떤 일들이 이뤄질지는 알 수 없으나, 방향은 일단 옳게 잡은 것으로 보인다.

[보안뉴스 문가용 기자] 미국 정부가 ‘백악관 소프트웨어 보안 서밋(White House Software Security Summit)’을 주최해 오픈소스 커뮤니티와 주요 소프트웨어 개발사들을 1월 13일에 직접 만났다. 자꾸만 위험해지는 소프트웨어 보안에 대해 이야기하고 대책을 마련하기 위해서다. 아카마이, 아마존, 애플, 깃허브, 구글, 메타, 마이크로소프트, 레드햇, 아파치 소프트웨어 재단, 리눅스 재단이 여기에 참여했다.

[이미지 = utoimage]


이번 서밋의 목적은 코드 리포지터리와 오픈소스 패키지에서 발견되는 오류와 취약점들을 해결해 공격 가능성을 최소화하고 사건 대응 시간을 줄이기 위한 대책 마련에 있었다. “오픈소스 소프트웨어에는 고유한 가치가 있습니다. 그리고 그 만큼 특별한 방책으로써 보호해야 하는 존재입니다. 광범위하게 사용될 뿐만 아니라, 오픈소스 커뮤니티에 참가하는 사람들의 수도 어마어마하죠. 그래서 시작된 이번 서밋에서 참가자들은 생산적이고 구체적인 이야기를 나눴습니다.” 백악관 측의 설명이다.

현재 보안 업계는 로그4j(Log4j)라는 로깅 프레임워크를 찾아 패치하느라 한창 분주하다. 로그4j는 오픈소스이며, 아파치 재단에서 관리하고, 광범위하게 사용되고 있어 취약한 버전을 찾아 패치하는 게 원활하게 진행되지 않고 있다. 때문에 수많은 장비들이 취약한 상태로 사용되고 있는 게 현실이고, 이에 따라 로그4j를 노리는 공격자들의 활동이 빠르게 늘어나고 있다. 미국 정부도 이 로그4j 사태를 예의주시하는 중이다.

깃허브의 수석 보안 책임자인 마이크 핸리(Mike Hanley)는 “세계가 소프트웨어로 돌아가는 시대”라며 “오픈소스에 대한 의존도가 높아지는 게 이상하지 않다”고 짚었다. “오픈소스에서 발견되는 문제점들은 빠르게 다른 소프트웨어로 옮겨가고, 그 파급력은 어마어마합니다. 눈 깜빡할 사이에 수많은 산업으로 퍼지는 걸 저희는 여러 차례 목격한 바 있습니다.”

백악관은 바이든 행정부 초기부터 보안 강화를 위한 민관 협조 체계를 계속해서 강조해 왔다. 이번 서밋에서도 오픈소스 보호를 위한 민관 협조의 방법이 논의됐다. 개발자들을 위한 도구나 서비스에 보안 기능을 구축하는 방법, 패키지 저장 및 배포 플랫폼의 무결성 확인 장치 도입 등과 같은 방안들이 나왔다. 하지만 제일 먼저는 인기와 중요도 모두가 높은 오픈소스 프로젝트들과 패키지들을 안전하게 보호하는 것부터 시작될 것으로 보인다. 그 방법 중 하나는 소프트웨어 구성 요소의 ‘자재 명세서’ 발급이 될 가능성이 높다.

아카마이의 CSO인 보아즈 겔보드(Boaz Gelbord)는 “오픈소스 생태계의 가시성을 높이기 위한 공동의 노력을 해야 할 시기가 되었다”며 “정부와 민간 부문 조직들이 함께 오픈소스 보호 기술을 개발하고 도구 마련에 투자해야 한다”고 주장했다. “무엇보다 생태계 전체의 보안을 강화하는 방향으로 다함께 일을 진전시키는 것이 중요합니다. 도구 하나 개발한 것으로 만족하는 게 아니라요.”

그렇다는 건 “오픈소스를 보호하기 위한 새로운 도구 및 표준의 개발과, 기존의 것들을 규정하고 재확립하는 작업이 고루 이뤄져야 할 것이라는 뜻”이라고 오픈소스보안재단(OpenSSF)의 브라이언 벨렌도프(Brian Behlendorf)는 말한다. “거친 날 것의 코드들이 마구잡이로 만들어지고 뒤섞이는 과정에서 놀라운 소프트웨어가 탄생하기도 합니다. 그렇기 때문에 이런 혁신와 과정에까지 사슬을 묶어둘 필요는 없습니다. 그렇게 하지 않기 위해서 알맞은 도구와 규정을 만들어 적용해 보고, 새로 고칠 필요가 있겠죠. 결국 이런 논의가 이뤄지는 건 안전한 환경에서 더 나은 소프트웨어를 만들어야 한다는 목적 때문이니까요.”

하지만 자유롭게 코드가 만들어지는 과정만을 존중해서는 소프트웨어를 보호하는 게 어려울 것이라는 점도 지적됐다. “수천만 개의 소프트웨어 프로젝트들이 존재하고, 수천만 명의 개발자들이 활동하는 지금 시점에서 중요한 건 자동화 검사 도구와 방법론들을 전 세계적으로 구축 및 도입하는 것입니다. 기본적으로 오픈소스의 수량을 커버할 기술이 뒷받침되지 않는다면 그 모든 방법론들이 탁상공론이 될 것이니까요.”

오픈소스를 보호하기 위한 산업 내 투자는 이미 시작됐다. 구글과 마이크로소프트의 경우 지난 8월 향후 5년 동안 수억 달러를 소프트웨어 보안에 투자하겠다고 발표하기도 했었다. 다른 오픈소스 재단과 기업들 역시 여러 가지 방법으로 오픈소스 커뮤니티를 지원하겠다고 약속하고 있다.

아카마이의 겔보드는 “이제야 옳은 방향을 잡기 시작했지만, 방향만 잡은 것일 뿐 아직 아무 것도 이룬 것이 없다는 걸 기억해야 한다”고 짚었다. “소프트웨어와 오픈소스 생태계는 대단히 빠른 속도로 변하는 분야입니다. 방향을 잡은 후에 그쪽으로 꾸준하고 빠르게 달려가는 일이 반드시 이뤄져야 합니다. 실질적으로 개발자들이 활용할 수 있는 방법과 도구들을 갖추는 게 중요합니다. 몇 번의 서밋으로 만족할 일은 아닙니다.”

3줄 요약
1. 미국 백악관, 오픈소스 보호하기 위해 주요 플레이어들 소집.
2. 민관의 협조 체계로 오픈소스를 보호하기 위한 방안들 나온 듯.
3. 소프트웨어의 혁신과 보안 다잡을 수 있을까?

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)