美 정부·산업계, 오픈소스 SW 공급망 보안 강화 '잰걸음' [IT돋보기]

"OSS는 디지털 공공재..교량‧고속도로와 동일한 중요 인프라"

[아이뉴스24 김혜경 기자] 최근 미국에서는 오픈소스 소프트웨어(Open Source Software‧OSS)와 공급망 보안을 강화하기 위한 움직임이 부각되고 있다. 지난주 글로벌 빅테크 기업들은 향후 2년에 걸쳐 약 1억5천만 달러(한화 1천926억 원)를 투입, OSS 보안을 강화한다는 목표를 세웠다. 사전 예방적인 접근 방식 강화와 기업 단위에서 실행됐던 대응 방안을 SW 생태계 전반으로 확대해 더 높은 수준의 보안 프로세스를 구축한다는 것이 골자다.

지난주 글로벌 빅테크 기업들은 향후 2년에 걸쳐 약 1억5천만 달러(한화 1천926억 원)를 투입, OSS 보안을 강화한다는 목표를 세웠다. [사진=조은수 기자]

16일 리눅스 재단(Linux Foundation)과 오픈소스 SW 보안 재단(OpenSSF)에 따르면 지난 12일(현지시간) 워싱턴DC에서 열린 두 번째 ‘OSS 보안 서밋(Summit)’에서 정부와 산업계는 올해 1월에 열렸던 첫 번째 서밋 내용을 보완해 ‘OSS 보안 모빌리제이션 플랜(Mobilization Plan)’을 내놨다.

보고서에는 SW 공급망 강화를 위한 3가지 기본 목표와 10가지 이행 계획(이니셔티브)이 담겼다. 보고서는 “사후 대응에서 사전 예방적인 접근 방식으로 전환하기 위한 포괄적인 투자가 팔요하다”며 “OSS 공급망에서 더 높은 수준의 보안과 신뢰성을 보장하기 위해 사용되는 시스템과 프로세스를 발전시키는 것이 목표”라고 전했다.

OSS란 프로그래밍 설계도인 소스코드가 공개된 SW를 뜻한다. 누구나 자유롭게 배포‧수정‧복제‧사용이 가능하다는 점이 특징이다. 크게 커뮤니티 기반 오픈소스와 엔터프라이즈 오픈소스로 나뉜다. 기업이 안심하고 사용할 수 있도록 보안과 성능, 기술 지원을 강화한 것이 후자다. 레드햇(Red Hat)은 대표적인 엔터프라이즈 오픈소스 공급기업이다.

복수의 개발자들이 ‘깃허브(GitHub)’ 등 오픈소스 커뮤니티를 통해 SW를 개발하고 개선한다는 점에서 집단지성으로 문제를 해결한다는 장점도 있지만 보안 문제가 단점으로 대두된 바 있다. 특히 최근 사이버 위협이 급증하고 공격 기법이 지능화되면서 OSS의 보안 취약점 해결도 시급해진 상황이다.

과거부터 OSS를 자주 사용했던 기업은 OSS가 공급망에서 어떤 형태로 포함되는지 인지하는 것이 중요하다고 여겼다. 처음에는 SW 저작권 관련 컴플라이언스나 법적 제도를 파악하기 위한 목적이 컸지만 최근에는 취약한 SW 자산을 추적하기 위해 내부 시스템을 수립하는 경우가 빈번해지고 있다고 보고서는 설명했다.

이같은 기업은 SW 개발 관련 직원 보안 교육을 강화하거나 자체 펀딩, 사전에 취약점을 발견할 수 있는 도구 등에 투자하고 있다. 보고서는 이같은 사례를 특정 기업에 국한되지 않고 전체 SW 생태계 적용해야 한다고 강조했다.

전 세계 대부분 기업이 OSS를 사용하고 있을 뿐만 아니라 개발 시 OSS를 재사용하는 것이 하나의 트렌드로 자리잡으면서 특정 OSS의 보안 취약점이 이를 재사용하는 다른 SW로 전파될 가능성도 배제할 수 없기 때문이다.

미 정부와 빅테크 기업들은 OSS와 SW 공급망 보안을 강화하기 위해 향후 2년에 걸쳐 약 1억5천만 달러(한화 약 1천926억 원)의 자금을 투입할 예정이다. 해당 표는 각 부문별 전망되는 예산 규모. [사진=리눅스 재단 'OSS 보안 모빌리제이션 플랜(Mobilization Plan)' 일부 내용 발췌]

앞서 미 정부는 올해 1월 리눅스 재단, 산업계 등과 ▲OSS 제작 단계 보안 강화 ▲취약점 모색‧개선 강화 ▲수정사항(패치) 배포 시간 단축 등 3가지 목표를 수립했다.

우선 첫 번째 목표는 소스코드의 보안 결함과 취약점을 방지하는 데 중점을 둔다. 총 4개의 이니셔티브에는 ▲SW 보안 교육 ▲디지털 서명 채택 가속화 ▲상위 1만개 OSS 구성요소를 대상으로 한 위험 평가 대시보드 설정 ▲비메모리 안전 언어(non-memory-safe languages) 교체를 통한 취약성 근본 원인 제거 등이 포함됐다.

두 번째 목표는 결함을 찾고 수정하기 위한 프로세스 개선이다. 취약점에 대응하기 위해 보안 전문가를 육성하고 ‘오픈소스 보안 사고 대응팀(Security Incident Response Team)’을 구성한다. 또 가장 중요한 OSS 구성요소 중 200개에 대해 서드파티 코드 검토를 수행하고, 업계 전반에 걸친 데이터 공유로 가장 중요한 OSS 구성요소를 결정하는 데 도움이 되도록 한다.

보고서는 생태계와 SW 벤더, 중개업체, 서비스 공급자 등 모든 참여자가 OSS 구성요소가 인프라 일부인지 혹은 어떤 형태로 공급망에 포함돼 있는지 인지하는 것도 중요하다고 강조했다.

아울러 SW 자재명세서(Software Bill of Materials) 제도를 이 같은 문제를 해결하기 위한 대책으로 제시했다. 다만 제대로 된 대응 방안을 마련하기 위해서는 표준화와 함께 생태계의 이해관계자가 모든 구성요소를 최신 버전으로 업데이트하는 등 보완 노력이 필요하다고 봤다.

리눅스재단과 OpenSSF는 “디지털 공공재의 한 형태인 OSS는 고속도로나 교량만큼 중요한 사회 인프라로 자리매김했다”며 “이번에 수립한 체계적인 접근 방식이 OSS 보안을 개선하는데 큰 영향을 미칠 것으로 보고 있다“고 전했다.

/김혜경 기자(hkmind9000@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기