오픈소스 보안 강화를 위해 본격적으로 움직이기 시작한 미국의 조직들

오픈소스를 강화하기 위한 움직임이 미국에서 본격적으로 시작됐다. 얼마 전에는 일부 기업들이 필요한 예산을 냈고, 이제는 보다 구체적인 방안들이 모색되기 시작했다. 오픈소스 강화의 열쇠를 쥐고 있는 건 개발자라는 결론이 내려진 듯하다.

[보안뉴스 문가용 기자] 전 세계 수만 개의 오픈소스 프로젝트들과, 그 오픈소스를 활용하여 각종 소프트웨어와 애플리케이션을 개발하고 있는 개발자들에게 희소식이 있다. 지난 주 리눅스재단, 오픈소스보안재단을 비롯해 아마존, 구글, 마이크로소프트 등 37개 기술 기업들과 단체들이 새로운 보안 이니셔티브를 시작했다는 것이다. 미국 정부를 필두로 세계적으로 손꼽히는 IT 업체들이 오픈소스를 이대로 두면 안 된다는 데에 동의하고 팔을 걷어붙였다.

[이미지 = utoimage]

지난 주 미국에서는 소프트웨어 산업 내 전문가들과 정부 요원들 간 2차 서밋이 진행됐다. 이 서밋의 목적은 오픈소스의 보안과 소프트웨어 공급망을 강화하기 위한 대책을 마련하는 것이었다. 여기서 수립되는 계획을 오픈소스소프트웨어보안동원계획(Open Source Software Security Mobilization Plan)이라고 하며, 10가지 보안 강화 절차를 크게 세 가지 이니셔티브로 묶어서 발표 및 진행할 예정이다.

오픈소스보안재단의 총괄인 브라이언 벨렌도프(Brian Behlendorf)는 “일부 기업들은 오픈소스 보안 강화를 위해 필요한 예산 1억 5천만 달러 중 3천만 달러를 기부하기로 이미 결정했다”며 이번에 많은 기업과 단체들이 모인 게 단순 구색만 갖춘 게 아님을 강조했다. 이 3천만 달러는 아마존, 에릭슨, 구글, 인텔, 마이크로소프트, VM웨어로부터 나온 것으로 알려져 있다. “1억 5천만 달러는 어마어마해 보이는 금액이긴 하지만, 공급망 공격으로부터 입는 피해에 비하면 아무 것도 아닌 수준입니다. 보안은 투자의 시기에 따라 적은 비용으로 큰 효과를 내는 게 가능한 분야입니다.”

소프트웨어 공급망 및 오픈소스 보안 강화를 위한 10가지 계획에는 ‘시큐어 프로그래밍’에 대한 교육과 인증 제도 마련, 최상위 1만 개 OSS 요소들에 대한 보안 평가표 마련, 소프트웨어 배포판들의 디지털 서명 행위 촉진, C나 C++와 같은 메모리 비보호형 언어보다 고나 러스트와 같은 보다 현대적인 언어의 활용 권고 등이 포함되어 있다. 또한 오픈소스에서의 취약점 발굴과 보호를 활성화 하기 위한 금전적 지원과 보안 도구 제공, 서드파티 평가의 활성화, 데이터 공유 활성화 등도 계획으로 잡혀있다. 이런 모든 계획들의 주안점은 일거리를 늘리지 않으면서 보안을 강화하는 것이라고 오픈소스보안재단은 보고서를 통해 설명했다.

보안 강화를 위한 더 많은 도구들
1억 5천만 달러라는 예산의 대부분은 도구 개발과 교육에 투자될 전망이다. 무슨 뜻이냐면, 대부분의 노력이 개발자들에 초점이 맞춰져 있다는 것이다. 이미 개발자들의 안전한 개발 행위를 위해 도구들이 속속들이 등장하고 있는 상황이기도 하다. 예를 들어 구글의 경우 올스타즈(AllStars)라는 자동 깃허브 검사 도구를 만들어 배포하고 있다. 18개 영역으로 프로젝트를 평가하는 스코어카드(Scorecard) 시스템을 마련하기도 했다.

보안 업체 제이프로그(JFrog)의 부회장 스티븐 친(Stephen Chin)은 “개발자들에게 과도한 짐을 지우지 않은 상태에서 보안을 강화하는 게 중요하기 때문에 이런 ‘편리한’ 도구들을 만들어내는 게 무척 중요하다”고 말한다. “오픈소스 보안 강화라는 목표가 달성되려면 개발자들이 이런 시도들 때문에 일거리가 늘어났다고 느끼게 하지 않는 게 중요하다고 봅니다. 자동화 기능을 십분 활용하고, 양질의 보안 데이터베이스를 활용하는 것이 좋겠죠.”

보안 업체 체인가드(Chainguard)의 공동 창립자이자 CEO인 댄 로렝크(Dan Lorenc)는 “도구의 개발보다 더 중요한 건 도구들 사이의 호환성을 규정하는 표준을 마련하는 것”이라는 입장이다. “소프트웨어 보안이라는 개념의 중추를 이루는 건 상호 호환성입니다. 호환성이 제대로 보장되지 않는다면 결국 개발자들은 다른 소프트웨어나 도구들로 눈을 돌릴 테니까요. 아니면 아예 보안 도구들을 사용하지 않기도 하겠죠. 모든 개발자와 개발사가 오픈소스를 꼼꼼히 검토하고 사용하면 좋겠지만 모두가 그럴 수 있는 건 아닙니다. 그러니 최대한 빠르고 안정적으로, 편리하게 안전한 프로그래밍을 할 수 있도록 해 주는 것이 맞습니다.”

오픈소스보안재단은 이미 한참 전부터 소프트웨어 공급망의 보안 강화를 위한 목소리를 적극적으로 내왔다. 올해 초만 하더라도 알파오메가프로젝트(Alpha-Omega Project)라는 것을 발표했는데, 이 프로젝트의 목표는 오픈소스 유지 관리 책임 주체들에게 필요한 도구와 지원을 제공하여 가장 널리 사용되는 소프트웨어를 강화시킨다는 것에 있었다. 지난 3월에는 하버드대학의 혁신과학실험소와 함께 가장 중요한 오픈소스 프로젝트 500개를 선정해 발표하기도 했었다.

3줄 요약
1. 미국의 정부 기관과 주요 IT 업체와 단체들, 오픈소스 보안 강화 위한 움직임 시작.
2. 이들의 현재 초점은 개발자. 업무 가중시키지 않고 보안 강화하는 것이 특히 중요.
3. 시큐어 프로그래밍에 대한 교육과, 이를 뒷받침할 수 있는 자동화 도구 개발이 당면 과제.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)